アクシオンからのお知らせ

ACSiONブログ

第9回 不正対策のカギは"不自然さ"

2020.05.26

クレジットカードのなりすまし入会や第三者不正入会、銀行や証券における架空名義による不正口座(マネロン)、EC詐欺など攻撃者による不正利用を目的とした攻撃の未然防止をすることや被害の極小化をするためには、自ら仮説を立てることが必要である。

攻撃者はどのようなタイミングで不正利用をするのか、みなさんが攻撃者になったつもりで、いつもご利用されているサービスに置き換えて少し想像をしてみていただきたい。サービス申込の所で不正利用をするのか、いつ何を搾取するのか、サービスを利用している誰かを騙すのか、少し想像するだけで思い浮かんだのではないだろうか。そのサービスを皆さんがよくご利用されているので、その魅力やサービスがわかっているので細分化していけばいくらでも想像は可能だろう。

自社サービスの不正利用の対策を担当している人に聞いてみると、先ほどと同様に自社サービスを攻撃者になったつもりで、どのように攻撃をするかを想像してもらおうとしても、先入観に囚われて過去に自らが経験したこと以外は、あまり思い浮かんでこない。また、自社サービスの全容を把握していないこともある。実際の攻撃者は手口を教えてはくれないので、真の手口や目的はわからないもの未然防止をするためには自社サービスの全容を理解しつつ仮説を立てる力を付けていく必要がある。

仮説を立てて検証し、攻撃者によるアタックの兆候をいかに早期に捉えることができるかがポイントとなる。それは、不正対策のカギは細部に出る攻撃者の"不自然さ"を捉えることとなる。

何をもって、"不自然さ"なのかは自社サービスを考慮しなければならないが、"不自然さ"を見極めるための手触り感を不正利用の対策を担当する人は持っておく必要がある。そこで参考になるのは、「疑わしい取引の参考事例」となる。例えば、銀行でブランドデビットカードの不正利用の対策を担当している人は、「クレジットカード事業における疑わしい取引の参考事例」が参考になる。ここには、預金取扱い金融機関向けとは異なる事例があり、"不自然さ"を見極めるための手触り感を持つのに参考となる。「疑わしい取引の参考事例」は、事業者別で参考事例が書かれており、自分たちが所属している業界のみしか見ないことが多いと思うが、記載されている内容は、その業界以外の方が不正利用対策をするうえでキーワードとなる"不自然さ"に気付くための手口、目的を理解するのに役立つので不正利用の対策を担当する方は、改めて他業界のものもご確認いただければと思う。

「疑わしい取引の参考事例」は、あくまで"参考事例"なのでここに記載のものが全てではないことを十分に理解しておく必要がある。言い換えると、ここに書いてあることだけを対応すれば良いというものではない。参考に、"不自然さ"を見極めるための手触り感を掴みつつ、自社サービスの内容を踏まえて不正利用の対策やマネロン対策(FATF対応)などを進めていくことになる。

次に、自社サービスを考慮した場合の不自然さの一例を紹介する。銀行口座のサービスにより異なりますが、給与が振り込まれたりするとメールで通知してくれるサービスがある。この時に、一般的の多くのお客さまは給与が振り込まれてご登録のメールに通知が届いたら、お金の出金をしたり、インターネットバンキングなどで残高照会をしたりする。一方で、攻撃者によって不正に口座が利用されている場合には、例えば、今、誰かを騙していているので、お金が振り込まれるタイミングがわかっているので、お金が振り込まれる前からインターネットバンキングにログインし、残高照会を頻繁(連打)してお金が入るのを待っている。そして、メールによる通知が届くまでもなくお金を引き出そうとする。このように一般の多くのお客さまと比較することで、残高照会をするタイミングや頻度(連打)の部分において、細部に出る攻撃者の"不自然さ"が見えてくるものもある。

Deteckerの概念図

不正利用の対策を担当している方は、改めて自社サービスにおいて不正対策のカギとなる細部に出る攻撃者の"不自然さ"とは何かを考えてもらえればと思う。

安田 貴紀

執筆者: 安田 貴紀

  • facebook
  • twitter

ACSiONのサービス

  • 本人確認
  • 不正検知
  • コンサルティング