
アカウント乗っ取りとは
アカウント乗っ取り (ATO) とはオンライン "なりすまし" の一形態です。これは被害者のオンライン アカウントに第三者が不正にアクセスして、アカウント情報の変更、購入、盗難情報を利用した別アカウントへのアクセスを行い、利益を得ることで発生します。
企業と消費者の両方にとって ATO は最も重大なサイバーセキュリティ脅威の 1 つであり、2018 年の推定被害額は 40 億米ドルに達します。
アカウント乗っ取りの種類を把握する
近年では、銀行、e コマース、旅行、保険、小売などの業界を標的にした ATO の犯行が増加しています。これらは通常、一般的な ATO 詐欺のうち、次の 4 種類のシナリオに該当します。
- 資格情報クラッキング: これは被害者のユーザー名や電子メールに、悪意のある攻撃者がアクセスすることで発生します。これらの奪取がとても容易なのは、多くの人がしばしば複数の場所で同じメール アドレスを使用し、さらに複数の Web サイトで同じユーザー名を使用するためです。これらにアクセスするために、悪意のあるハッカーは一般的に使用されるパスワードや単純なフレーズの組み合わせをボットで自動的に試行して、アクセス許可を奪取します。
- 資格情報スタッフィング: この手口は、現在増加している、最も一般的な攻撃の 1 つです。このシナリオでは、悪意のある攻撃者が大量に盗み出したユーザー名とパスワードを利用して、アクセス権を奪取します。そしてボット攻撃を使用して盗み出した資格情報を試すプロセスを自動化し、こうした資格情報を複数のウェブサイトに “詰め込み“ ます。多くの人がさまざまなサイトで同じユーザー名とパスワードを使用しているため、これが成功することも少なくありません。犯罪者がアクセス権を奪取すると、購入、ロイヤルティ ポイントの使用、他のアカウントへの送金を行います。
- パスワード スプレー: 既知のユーザー名とパスワードに影響を及ぼす資格情報のクラッキングやスタッフィングとは異なり、この手口では未知のユーザーを標的にして一般的な ATO 防止策を出し抜きます。つまり、悪意のある攻撃者は標的にする Web サイトを選び、ボット攻撃を使用して “password123” や “123456” といった単純で知れ渡ったユーザー名で何度もログインを試みます。この方法では通常 3〜5 回ログインに失敗するとアカウントのロックをトリガーするため、ログインに失敗した場合は別のアカウント名で再試行します。
- SIM 入れ替え攻撃: これは、悪意のあるハッカーがソーシャル エンジニアリングの手法を使用し、正当なサービスを悪用してユーザーの SIM カードを入れ替えた場合に発生します。ハッカーは被害者の電話を乗っ取り、認証コードを傍受することで不正取引の検証を突破します。
次に示す ATO 攻撃の発生を示唆する一般的な危険サイン。
- ログイン試行で見られる異常なスパイク。
- ログイン失敗回数の増加。
- アカウント ロックのスパイク。
- 正当な組織を装って送信された詐欺メールや SMS メッセージに関するレポート。
- 不正な資金移動について苦情を申し立てる顧客。
- TCP と HTTP の一致しない署名。
アカウントの乗っ取りを引き起こす一般的な手口
犯罪者は、次に示すさまざまな手口を利用してアカウントを乗っ取り、必要な情報を盗み出します。
- フィッシング: この手口の犯罪者は通常、偽物の緊急事態を演出し、ユーザーが電子メールの開封やクリックを行うように仕向けます。そして金融機関の実際の Web サイトに酷似した偽サイトにリダイレクトし、そこで口座の資格情報を盗み出します。
- マルウェア: これは一般的かつ検出が難しい手口です。マルウェアとは、犯人が被害者のコンピューターにインストールした悪意のあるソフトウェアで、キー操作の記録や詐欺サイトへのリダイレクトによってユーザー情報を奪取します。
- 中間者攻撃: これは、被害者が金融機関に連絡する際に、悪意のあるハッカーが間に入り込むことで発生します。この犯罪者は不正なアクセス ポイントで顧客のデータを傍受し、アカウントのアクセス許可を奪取します。セキュリティ対策を適切に講じていない場合、特にモバイル バンキング アプリがこの種の攻撃に対して脆弱になる可能性があります。
アカウントの乗っ取りが組織に及ぼす影響
特定の業界ばかりがアカウント乗っ取り攻撃の標的にされるのは、ユーザー アカウントやメンバーシップ システムを運用する企業が脆弱だからです。
これらは組織に甚大な被害を及ぼすサイバー脅威の 1 つに過ぎません。そして ATO 防止対策をとらない場合、こうした攻撃によって売上を損なうだけでなく、信用も傷つきます。つまり、顧客の信頼を失う危険性があります。
アカウント乗っ取り詐欺を防止する方法
世界はますますモバイル化していますが、幸いなことに組織は予防策を講じることで、アカウント乗っ取り詐欺のリスクを軽減できます。
アカウント乗っ取りに起因するインシデントを軽減するために、組織は次のような 詐欺防止 戦略を実装すべきです。
- ボット検出ソリューションを実装し、技術データと操作データを分析することで訪問者の行動を識別します。
- すべてのアカウントに多要素認証 (MFA) オプションを導入します。
- 自分の組織を標的にしたサイバー犯罪の温床となる活動を監視します。
- すべてのオンライン アカウントに強力な固有のパスワードを設定させるために、パスワード マネージャーの使用を顧客に促します。
Fraud Protection の概要
組織が導入するアカウント乗っ取りの検出と防止を担うプラットフォームは、ますます巧妙化するビジネスを標的にしたサイバー攻撃に対応し続ける必要があります。さらに購入、アカウント、損失防止 に対して不正の検出能力を高め、カスタマー エクスペリエンスを改善するために、ATO テクノロジが不可欠です。
これを念頭に置くと、ATO の保護オプションを評価する際には、次の機能を搭載する製品に注目すべきです。
- 適応力を備えた AI テクノロジ
- ボットからの保護
- アカウントのサインイン保護
- ビジネス インテリジェンス レポート
- 強化された損失防止システム
Microsoft Dynamics 365 Fraud Protection により、オンライン小売業者はカスタマイズできるルールを活用して、取引の検証、ボット トラフィックの検出、詐欺の危険性評価を実施し、ビジネスを保護して、オンライン取引の判断に関する推奨事項を利用できるようになります。