9月28日、RSAセキュリティは「オンライン犯罪の現状と対策」説明会を開催。マーケティング統括本部シニアマーケティングマネージャーの水村明博氏により、同社が調査した「オンライン詐欺師」の活動手法が明らかにされた。
トロイの木馬などによるクレジットカード情報の盗難、オンラインバンキングによる不正送金、オンラインショッピングでの不正な商品購入といった犯罪を行なう「オンライン詐欺犯罪」。これを行なうのは、一枚岩の巨大な犯罪組織であったり、逆に単独や限られた仲間内で完結する少数精鋭の組織を想像するかもしれない。しかし実際には、オンライン犯罪を手助けするさまざまなサービスが用意されており、これを利用することで誰でも簡単に詐欺を働けるようになっているのだ。
RSAでは、こうしたサービスを「FaaS(Fraud as a Service、サービスとしての詐欺)」と呼んでおり、今回は「詐欺電話サービス」、「クレジットカードの有効性確認サービス」、「本人認証妨害サービス」が紹介された。
詐欺電話サービスは、「金融機関による本人確認を受ける」、もしくは逆に「クレジットカード情報の一部を変更したいとカード会社に電話する」といった詐欺電話を行なうサービスだ。英語やドイツ語のサービスで1コールあたり10ドルから15ドル(米ドル、以下同)。ロシア語でサービスを提供するサイトもあり、こちらは10ドルだという。
クレジットカードの有効性確認サービスは、不正に入手したクレジットカードが使えるかどうかを確認する。無効なカードを不正使用するとカード会社や警察に目を付けられるため、それを未然に防ぐためのサービスというわけだ。
こちらの価格は、ロシア語サイトでは50件あたり20ドル(1件あたり0.4ドル)。一方、英語やドイツ語サイトでは、登録会員向けの月極サービスとして提供されているという。
3つ目の本人認証妨害サービスは、SMSもしくは電話による攻撃を行なうサービスで、「電話DoS」とも呼ばれる。オンライン送金時に正規のユーザーに対して電話やSMS(ショートメッセージ)を送信して本人認証を行なうオンラインバンキングサービスにおいて、この正規のユーザーに対して大量の電話やSMSを送り付けることで本人認証を行なえなくしてしまうというものだ。
こちらの価格は、ロシア語サイトでは25~40ドル、英語やドイツ語サイトでは50~70ドルとなっている。それぞれ、24時間ごとの価格だ。
犯罪者はどのようにFaaSを利用する?
それでは、オンライン詐欺師はこうしたサービスをどのように使い、犯罪を行なっているか。これまでの調査情報を元に、RSAが想定を行なったのが以下の2つのケースだ。
まず1つ目のケースは、トロイの木馬による口座情報の詐取を狙う「駆け出しオンライン詐欺師」の場合だ。
「駆け出しオンライン詐欺師」が用意するサービス
このために用意するのは、「Zeus」というトロイの木馬の構築キット、警察などからの調査を受けないような防備(防弾仕様)のホスティングサイト、そしてトロイの木馬を感染させるためのスパムメールの配信サービスで、合計で4470ドル(約38万円)となる。
「駆け出しオンライン詐欺師」の手順(このスライドは、RSA提供のデータに編集部で通し番号の付与などの修正を入れたものです)
サービスを利用して首尾よく口座情報を集めたら、次は現金化だ。口座情報を使って自ら不正送金を行なえば、被害者の残高分の現金が手に入る。しかし、不正送金は発覚する可能性もありリスクは高い。
一方、口座情報をブラックマーケットで販売すると、1口座あたり50~300ドルだ。ローリスクではあるが、ローリターンな手法といえるだろう。
続いては、「熟練オンライン詐欺師」のケースだ。こちらは、通販サイトのログイン情報を入手し、高額商品を不正購入する犯罪を行なう。
「熟練オンライン詐欺師」が用意するサービス
ログイン情報が50セットで500ドル、詐欺コールセンターの利用料が30回分で300ドル、そして不正購入した商品の送り先(商品転送役)への手数料は出来高払いだ。合計で800ドル+アルファ(出来高払い分)であり、駆け出しオンライン詐欺師よりも安価に済んでしまう
「熟練オンライン詐欺師」の手順(このスライドは、RSA提供のデータに編集部で通し番号の付与などの修正を入れたものです)
詐欺行為の課程では、詐欺コールセンターや商品転送役、現金化業者の協力を受けるうえ、通販サイトやカード会社のカスタマーセンターとのやり取りが発生するなど関係者が増える。そのため危険は高まるが、30件の不正購入を行なえば数万ドルもの売り上げとなり利益は大きい。
少ない元手で大きく儲けるのが、熟練オンライン詐欺師たるゆえんといえるだろう。
もちろん対策も
以上が、RSAの想定に基づくオンライン詐欺師の活動手法の例だ。もっとも、実際にこの通り上手く行くとは限らない。なぜなら、こうしたオンライン犯罪に対抗するため、RSAは保護ソリューションを提供しているからだ。
その代表の1つが、「RSA FraudAction Anti-Trojan Service トロイの木馬対策サービス」だ。このサービスでは、トロイの木馬を配布する感染元サイトへのアクセスのブロック、そして搾取した情報を集める収集サイトや感染元サイト、指令サイトのシャットダウンなどを行なうことで、トロイの木馬による被害を防ぐ。
2009年10月に始まった「トロイの木馬対策サービス」
もう1つが、不正検知ソリューション「RSA Transaction Monitoring」だ。送金や振込などのユーザーの操作をモニタリングし、不正な可能性のある操作を検出。そのユーザーのアクティビティを調査する。こうすることで、不正送金や商品購入を防止するわけだ。
不正な振込などを未然に防ぐ「RSA Transaction Monitoring」
RSA Transaction Monitoringは、リスクベース認証ソリューション「RSA Adaptive Authentication」の一部だ。このRSA Adaptive Authenticationは、バンク・オブ・アメリカやワコビアなど全米トップ10の金融機関のうち6行で採用されており、日本でも2008年にみずほ銀行が採用したことが発表されている。
初出時、RSA Transaction Monitoringの採用状況についての説明に誤りがありました。お詫びし、訂正させていただきます。(2010年9月30日)
