RSA Quarterly Fraud Report Vol.113
RSA Security Japan合同会社
フィッシングという言葉が1996年に出現して以来、手口は進化し続けており、被害総額と被害者数は上昇の一途をたどっています。RSAは2003年よりオンライン犯罪対策サービス「RSA FraudAction」を提供しており(国内提供は2006年から)、トロイの木馬などマルウェア攻撃を検知し、フィッシングサイトを閉鎖しています。FraudActionの中核であるAFCC(Anti-Fraud Command Center:不正対策指令センター)は、今年で設立17年目を迎え、フロード・アナリストが24時間365日体制で数カ国語を駆使してマルウェア解析、犯罪手口の解明に従事しています。
本ニュースレターは、AFCCが定期的に公開しているインテリジェンスレポートからフィッシングやオンライン犯罪情報、統計情報をまとめたものです。犯罪者による金銭などの経済的な利得を目的とした攻撃、消費者を標的とした攻撃に関するデータと、RSA(R) Fraud & Risk Intelligenceチームによる分析を掲載しています。多様な業種、規模の消費者にサービスを提供している企業が効果的なデジタルリスクマネジメントを実現するために役立つサイバー犯罪環境のスナップショットです。(2020年第2四半期版: 2020年10月26日発行)
エグゼクティブサマリー
サイバー攻撃トレンド: 2020年第2四半期
RSAが第2四半期(2020年4月1日から6月30日)に、グローバル規模で観測した犯罪の傾向です。
・2020年第2四半期、RSAは世界全体で46,821件の攻撃を検知しました。
・フィッシング攻撃は、サイバー犯罪者による攻撃方法の支配的な地位を保ち続けており、第2四半期にRSAが認知したすべての攻撃の43%を占めています。
・ブランドの不正使用が次いで多く、攻撃の35%を占めました。
・フィッシング攻撃で最も多く名前を騙られたのはカナダのブランドで、全体の59%を占めました(二番手の占めた比率は、わずか9%にとどまっています)。カナダの首位は2017年第1四半期から続いています。
・最も多くのフィッシング攻撃がホスティングされた国は米国で、全体の67%を占めました。
消費者を狙った犯罪の傾向: 2020年第2四半期
・モバイルチャネルから実行された不正な取引の占めた割合は、前四半期72%から微減して69%でしたが、これは前年同期に比べると26ポイントの増加です。
・新しいアカウントと新しいデバイスの組み合わせによるオンラインバンキングのログインは、取引全体では0.7%しかありませんが、不正な取引に限ると31%となり、引き続き大きな差異が生じています。
特集 : 今こそ不正対策の見直しを
第2四半期に劇的なビジネスのデジタルシフトが起きた今こそ、オンライン不正対策戦略の見直しが必要です。デジタルインタラクションの増加は不正リスクの変化を促す可能性があり、その見直しは不正対策の取り組みが顧客と企業の間のインタラクションに沿っているか-そして犯罪者たちがどのように反応しているか-を確かめるのに役立ちます。この記事は、今直面している課題に関する解説と、有効な見直しに役立つガイダンスや実践的なステップを提供します。
犯罪の攻撃傾向: 2020年第2四半期
犯罪のタイプ別発生状況
2020年第2四半期、RSAは全世界で46,821件の不正行為を検出しました。
攻撃手法別で最も大きな比率を占めたのはフィッシング攻撃で、全体の44%を占めています。
その次が、ブランドの不正使用で全体の35%を占めました(これは前四半期比13ポイント増にあたります)。トロイの木馬を用いた攻撃の占めた割合は、第1四半期の9%と変化はありませんでした。不正なモバイルアブリケーションに分類される攻撃の占めた割合は、前四半期から2ポイント減の13%でした。
フィッシングの攻撃対象となった国
今四半期も最も多くフィッシング攻撃の標的となった(攻撃の際に騙られた)ブランドはカナダのものでした。カナダは、現在の形式で調査を開始した2017年第1四半期以来、すべての四半期で最大の標的国であり続けています。
2位は米国です。上位10ヵ国に含まれる国々のうち、オランダ(前四半期比63%増)、南アフリカ(同48%増)を除くほとんどの国で、(前四半期に比べて)攻撃件数が減少しています。ペルーが8位に入り、代わってチリが圏外となりました。
フィッシング攻撃がホストされた国々
米国は引き続きフィッシング攻撃の最大のホスティング国でした。第2四半期にフィッシング攻撃をホスティングしたISPの約67%は、米国の事業者でした。これは、ひと握りの大規模事業者に起因しています。彼らの取り扱う処理が膨大すぎるため、占める割合が相対的に小さい不正な活動が(埋もれて)検知しにくくなっているのです(上位10ヵ国他の国々が占めている割合は、1桁前半のわずかなものにとどまっています)。
消費者を狙った犯罪の傾向:2020年第2四半期
RSA(R) Fraud & Risk Intelligenceチームは、消費者に対する金融サイバー不正攻撃を検知、防止、緩和することで、公共の利益を守りながら、消費者を狙った不正データを分析し、主要な組織のためのセキュリティとリスクの管理に関する意思決定を形成しています。継続的に消費者を狙った不正の傾向を観察することで、消費者と相対するデジタルチャネルを横断するデジタルリスク管理戦略を構築、洗練する方法について意思決定者を支援することができます。
ここで紹介する内容は、現在の消費者を取り巻く犯罪的環境の枠組みを包括的に捉え、金融とeコマースという二つの領域を横断的に注視して、オンライン犯罪にかかわる幅広い指標を追跡するもので、オンライン犯罪の傾向の特定を目指しています。
不正取引の発生状況
取引方法
2020年第2四半期、モバイルブラウザーとモバイルアプリからの取引は、RSAが観測した取引全体の56%を占めました。 これは、前四半期と比べてほとんど変化は見られません。第2四半期にモバイルチャネルから実行された不正な取引は 前年同期比26ポイント増の69%でした。
不正取引の方法
2020年第2四半期におけるウェブチャネルとモバイルチャネル*からのオンライン詐欺の全体的な件数は、前四半期に比べて若干数、減少しましたが、変化はほとんどありません。2019年Q4と比べて、モバイルアプリで発生した不正トランザクションが2倍に増えました。
*モバイルブラウザーとモバイルアプリケーションを合わせた数字
クレジットカードを使った正規の取引と不正な取引の比較(eコマース・地域別)
2020年第2四半期の平均不正取引金額が最も高額だったのは、南北アメリカの306ドルで、これに次ぐ欧州より13%、最も平均不正取引金額の少なかった英国の187ドルに比べると39%も多くなっています。不正な取引平均単価が最も少ない英国は、全体の取引平均単価との差額も最も小さくなっています。不正な取引平均単価と全体の取引平均単価との間に3倍近い開きがあった豪州/ニュージーランドの今回の結果は、前四半期と異なり、その差は2倍強程度となっています。
盗まれたクレジットカード情報とRSAが取り戻した情報
分析
2020年第2四半期に、RSAは、重複無しで4,838,249件の漏えいしたカードの情報及びカードのプレビューを取り戻しました。窃取者は、窃取されたカードを、侵害方法によって「CVV2」もしくは「ダンプ」に分類します。 RSA FraudAction™サービスは、オンライン取引やeコマースを狙ったサイバー攻撃によって窃取されたカードデータである「CVV2」に関するデータを回復します。この種類の不正取得されたカード情報は、「カーディング」(実店舗やウェブサイト(ECサイト)などで商品を購入(その後現金化)する不正行為)を含むさまざまな不正行為に悪用される恐れがあります。
特集:今こそ不正対策の見直しを
消費者や企業のビジネスに生じた、直接対話に代わるデジタルモデルへの転換、「デジタルトランスフォーメーション」は、COVID-19がもたらした変化の一つです。デジタルトランスフォーメーションはすでに多くの組織で進められていましたが、COVID-19の出現がその進行を大いに加速しました。個人間で密接に接触することが感染拡大や病気の発症リスクを上げるという認識は、急激な変化をもたらす触媒となりました。たとえば、銀行は支店を閉鎖し、通常の取引を完全にオンライン化し、医療提供者は患者を仮想環境で診察する技術を急速に導入し、小売店舗やレストランはすべてオンラインで完結する受注体制を確立しました。多くの組織は、デジタルファースト オペレーションに転換することで、パンデミック下にあっても、顧客やコミュニティにサービスを提供し続けることができました。
しかし同時に、デジタルファーストへの転換は、不正リスクの性質にも変化をもたらし、すでにあったデジタル不正のリスクを高めると同時に、新たな脆弱性をも生みました。今後、たとえ対面でのオペレーションがある程度戻ってきたとしても、ほとんどの地域ではデジタルファーストの考え方が標準から外されることはないでしょう。そして、デジタルの世界でプレゼンスを強力に確立するためのさまざまな取り組みが山のように控えている今こそ、不正リスクに対する姿勢の見直し、不正防止戦略の再評価、不正リスクの管理体制整備状況の確認を行う、よい機会なのです。
パンデミックはどのように不正リスクを変えているか?
パンデミックは、組織と顧客の間のビジネス手法だけでなく、犯罪者のビジネス(犯行)実行方法にも変化をもたらしました。 RSAのインテリジェンスおよび不正防止チームが、2020年第2四半期に確認した、パンデミックに関連する不正の性質の変化には、以下のようなものがあります。
経済的困難に関連する詐欺の急増
下の画像は、(1)窃取した個人識別情報を悪用して不正な失業手当を申請している様子や、(2)パンデミックに関する被災者向け貸付金の不正な申請の様子を示しています。
ホテルや航空会社を騙る不正の減少
ソーシャルメディアにおける犯罪者集団のメッセージを収集・分析したところ、第2四半期には、ホテルや航空会社のブランドに言及した不正は、第1四半期に比べて67%減少していました。このことは、第2四半期に観察された航空・観光事業に対する需要の減少と一致しています。
侵害・漏えい・ランサムウェアによる攻撃の増加
ソーシャルメディアの犯罪者フォーラムでは、侵害情報ダンプデータのアップロードが急増していることを確認しています。これは、従業員がリモート業務で生じたと考えられます。また、COVID-19のもたらしたランサムウェア攻撃の影響に関するメディア報告では、身代金の支払いを拒否した被害者のデータをダークネットにアップロードする、複数のランサムウェアを使う犯罪者集団の活動が急増しているとも報じられています。
不正リスク再評価の6つのステップ
前述のようなパンデミックに関連する不正の変化例は、一歩下がって身の回りに起きている最近の経験を調べ、不正リスクの変化を探し、それに応じて自らとビジネス関係者を保護することがいかに重要であるか、その理由の一つを示しています。
リスクがどのように変化し、それを管理するために何をすべきかを判断するためにも、以下にあげる6つの手順を実行して、消費者との間のインタラクションとトランザクションを分析し、関連する脆弱性を特定し、デジタルチャネル保護のために必要に応じて見直しを実施しましょう。
1. オムニチャネルでは視点の重要性を忘れずに
デジタルインタラクションの利用が増えれば増えるほど、インタラクションを縦割りで捉えるのではなく、不正の全体像を見る、つまりオムニチャネルを横断的に調査するという視点を持つことが重要になります。デジタルの世界におけるオンライン、モバイル、その他の手段で発生するインタラクションを、個々に独立したものとしてではなく、一つの全体として見る必要があります。
この全体像には犯罪者の攻撃方法が反映されているので、その把握は不正防止において大変重要です。犯罪者は、一連のリンクの最も弱い部分を探して資格情報を取得し、その資格情報を別のチャネルで使用して現金化するのです。これが、チャネル間でシームレスな顧客体験を提供する(ビジネス上の)オムニチャネルアプローチにおいて、チャネル間で不正を防止する(サイバーセキュリティ的な)オムニチャネルアプローチが必要な理由です。
2. 消費者によるデジタルチャネルへの適合(と関連する不正)を検証する
組織が、コンシューマ向けの新しいデジタルチャネルの導入や、機能を強化したデジタルチャネルに消費者が適合しているか、そしてそれに伴って不正なトランザクションが増加していないかを検証することは重要です。そして、こうした検証から不正に関する正確な洞察を得るには、不正が存在するか否かに関する戦略的背景を理解することが重要です。たとえば、モバイルファーストのアプローチを採用している場合、機能(新しい支払い方法など)導入の際に、ウェブサイトでのサービス提供前にモバイルアプリで提供を始めたかもしれません。その場合、不正はモバイルチャネルでは発生しても、ウェブチャネルでは発生しません。ただし、これは戦略によるものです。
3. 不正率と介入率を見てください(広く全体に、そしてチャネルごとに)
いずれのデジタルチャネルにおいても、より多くの不正検出をより少ない介入で実現するよう努める必要があります。できるだけ多くの不正を特定できた方がいいと思えるかもしれませんが、認証チャレンジを伴う介入を過剰に行った上で高い検出率を得ても、最終的に顧客体験に悪影響が出ます。精度が高く、誤検知の少ない不正検出防止ツールは、不正防止と顧客体験のバランスを取り、ビジネス目標の達成に貢献します。不正の検知、誤検知、顧客に対する介入の望ましいバランスを反映する基準を広く全体に適用することに加えて、チャネル横断的に標準化したアプローチを採るよりも、チャネルごとに不正検知率と介入率を設定した方が有効かもしれません。
4. 顧客の体験と好みを調査する
デジタルシフトをきっかけに不正防止戦略を再評価することは、そのデジタルシフトが顧客の体験にどのような影響を及ぼしているか、確認する機会にもなります。リテールバンキングを例に取ると、パンデミック以前からデジタルチャネルを活用していた顧客もいれば、銀行がデジタルチャネルに誘い、他の方法を使えなくしたために初めてデジタルチャネルを使用し始めた顧客もいます。特に、後者のグループからは、デジタル体験の継続的改善に有用なフィードバックが得られます。
5. 確認された不正事案を調査し、新たな不正パターンを特定し、必要な見直しを実施する
ケースマネジメントの結果確認された不正事案の調査や、適切な取引と不正な取引の確認からフィードバックを得ることは、戦略の再評価と継続的な不正防止に有用です。こうしたフィードバックを機械学習ツールに教師データとして提供すれば、将来のインタラクションに対するリスク評価の精度をいっそう高めることもできます。さらに、ケースマネジメントの調査によって新しい不正パターンを特定することは、新しいケースマネジメントポリシーの策定や既存のポリシーの見直しにもつながるでしょう。
6. ステップアップの影響をチャネル横断的に判断します
異なるチャネルに対して異なるステップアップオプション(方法)が使われることは珍しくありません。しかし、その場合、それぞれのチャネルにおけるオプションの影響を確認することがとても重要です。たとえば、あるオプションが他の対策よりも高い不正撃退率を示していても、それは手続きが非常に複雑になったことで顧客が途中で離脱するケースが多いだけかもしれません。きめ細かくレビューすれば、正当な消費者が認証に失敗している理由をよりよく理解し、問題点を修正することができます。それぞれのデジタルチャネルに違いがあることや、ステップアップオプションの顧客体験に与える影響が、あるチャネルに対しては理想的でも、別のチャネルにとってはそうではない場合があることなどを考慮した、同じように機能する一貫したチャレンジフローが、修正には必要です。
「何もしないこと」がもたらす結果に注意してください
第1四半期においては、すべてあるいはほとんどのインタラクションをできるだけ早くデジタルに移行することが合理的だったかもしれません。しかし、今は、生じた困難による変化を踏まえて、いったん立ち止まって不正防止や不正リスク管理に関する戦略を見直すことが重要です。今、変化している不正に対してぜい弱性を確認せず、かなりの損失が生じるリスクを放置する組織は、今後起こる不正に対抗する上で、より多くの困難に直面することになるでしょう。
日本でホストされたフィッシングサイト
日本に立ったフィッシングサイトの報告数は、今年3月に単月で67件と急増しましたが、その後は減少し、第2四半期累計でも、3月の半数以下という低水準で推移しています。
国内でホスティングされていたフィッシングサイト数の少なさとは対照的に、日本のブランドを騙るフィッシング攻撃の激しさはとどまるところを知らないという印象です。
フィッシング対策協議会に報告された国内のフィッシング攻撃件数は、2019年1月の1,713件から2020年9月の28,575件までほぼ右肩上がりで増え続けています。特に、この9月の28,575件は前月比37%増、年初の6,653件と比べると、およそ4.3倍にあたります。その結果、9月までの総攻撃件数132,811件は、まだ3ヶ月を残しているにもかかわらず、圧倒的な記録更新となった昨年の年間累計報告件数(2018年の約2万件の2.7倍以上になる5.5万件)のさらに約2.4倍にもなっています。同協議会によると、Amazon、楽天、三井住友カード、LINE を騙るフィッシングメールが繰り返し大量配信されていて、この上位4ブランドを騙るフィッシング攻撃が全体の9割以上を占めているといいます。