BLOG

アカウント乗っ取り詐欺とカスタマー フリクションを招くリスクを冒さずにデジタル イノベーションを推進するための4つのヒント

 サムネール
Published February 09, 2023

多くのオンライン小売業者とサービ組織は、さらに便利なデジタル サービスを顧客から求められる一方で、eコマースとオンライン サービスを標的とするサイバー攻撃が数および影響ともに急増しているという矛盾に直面しています。その結果、オンライン企業はデジタル イノベーションに対する顧客の選好に応えようとすればするほど詐欺やその他の種類のサイバー犯罪に遭いやすくなるという、うれしくない事態に陥っています。

この難問の中心には3つの主な要因があります。まず、組織が新しいデジタル サービスやeコマース サイトを展開するたびに、それまでの攻撃対象領域が拡大してターゲットになりやすくなり、検出と緩和が複雑になることです。次に、ほとんどの組織では、サイバー犯罪の防御に重点を置くグループが、情報の連携またはサイバー戦略や防御対策の連携ができないセキュリティおよび不正対策チームであることです。そのため、攻撃を抑えて防止したり、侵入や不正行為を即座に阻止したりするなどの協調的なサイバーセキュリティ アプローチが阻まれます。

最後は、いささか皮肉な話しですが、特定の顧客の癖や振る舞いが、オンライン ベンダーとサービス プロバイダに対するリスクを無意識に増大させていることです。Googleの調査によると、利用者の約3分の2が複数のWebサイトで同じ認証情報(ユーザー名とパスワード)を使い回しています。これも仕方ないことかもしれません。BuiltWithのeコマース利用状況に関する流通レポートによると、インターネット上にはおよそ3,300万のeコマース サイトが存在し、そのほぼすべてのサイトでユーザー名とパスワードを指定しないと商品を購入できません。

ただし、認証情報の使い回しは、サイバー犯罪者や大量の自動化ボットによって簡単に悪用される脆弱性を作り出します。Hacker Newsによると、認証情報の盗難や侵害は、すべてのセキュリティ侵害の54%を占めています。その結果、最も影響の大きいサイバー脅威ベクトルの1つであるアカウント乗っ取り(ATO)につながっています。大量のボットを使用して攻撃者は大規模な自動ログイン攻撃を仕掛け(クレデンシャル スタッフィングと呼ばれる攻撃)、複数のログイン形式でどの認証情報の組み合わせが有効なのかを探り出します。侵害された認証情報で他のサイトのアカウントにもアクセスできるため、攻撃者はアカウントを支配し、認証情報を改変して正当なアカウント所有者を締め出したり、資産を流出させたり、アカウントを悪用してさらなる不正行為に及んだりします。

VentureBeatのレポートによると、ATOは2022年前半に猛威を振るい、前年同期比で131%増えました。Javelinの2022年ID不正行為調査によると、米国の成人のうち22%がATOの被害に遭い、デジタル不正行為による損害額は、2023年~2027年にかけて世界中で3,430億ドルを超えることがAmerican Bankerのレポートで予測されています。

多くのeコマースやオンライン サービスにとって明らかなことは、デジタル イノベーションの推進はサイバー攻撃と潜在的な不正行為といったリスクも増大させるという点です。だからといって、新たなデジタル カスタマー サービスやエクスペリエンスのイノベーションと投資に制限を加えるわけにはいきません。組織は、技術的イノベーションを推進して、セキュリティや不正行為といった脅威からデジタル チャネルを守らなければなりません。

デジタル イノベーションを脅威から保護するための4つのステップ

デジタル チャネルのリスクを低減するのに役立つ4つの積極的な対策は次のとおりです。

  • 悪質なボットを緩和する。インターネットの全トラフィックの半分以上はボットからのものであり、その一部は有用なボット(チャットボット、検索エンジン クローラー)である一方、大半は悪質なボットです。悪性ボットは自動化攻撃に便乗して財貨を奪い、在庫を買い占め、不正行為を働くために偽のアカウントを作成し、Webおよびアプリケーションのパフォーマンスを低下させ、クレデンシャル スタッフィングを通じてATOを実行します。豊富なクライアントサイド信号収集や集約データ収集、ATO防止の自動化によるボット攻撃をリアルタイムで防ぐための機械学習を採用した高度なボット緩和ソリューションを利用して、ネットワークやWeb資産に対するボット活動をコントロールしましょう。
  • 手動による不正行為を阻止する。ROIが十分に高い場合、攻撃者は監視がさらに困難な手動による不正行為を行うことで自動化防止コントロールを回避します。デジタル チャネルで手動によるATO行為を特定するには、ユーザーの身元の真偽を確かめてその意図を明らかにする必要がありますが、正当な顧客のユーザー エクスペリエンスに影響を与えずにこれを達成しなくてはなりません。今日の高度な不正対策ソリューションでは、真偽と意図を評価するための検証済みのヒューマン データが登録されたAIベースのシステムを採用しています。これによって、実際の顧客のカスタマー ジャーニーを混乱させることなく、手動による詐欺行為をリアルタイムで阻止できます。
  • セキュリティ チームと不正対策チーム間の組織的サイロを解消する。不正対策チームとセキュリティ チームはいずれも複雑なサイバー攻撃に対処していますが、これらのチームはしばしば、異なる視点で、異なるツールを使用して問題にアプローチしています。セキュリティ チームはコンピューティング ネットワークと外部対応アプリケーションを侵入と悪用から守ろうとするのに対し、不正対策部門はオンライン デジタル取引とインシデント対応の保護に重点を置いています。どちらのチームも同じインシデントまたはエクスプロイトの影響に対処しているのかもしれませんが、これらのチーム間でコミュニケーションが欠落していれば、脅威インテリジェンスは失われて攻撃規模も明らかにできません。これは攻撃者を利するだけの状況です。不正対策チームとセキュリティ チーム間の連携によって攻撃をはっきりと可視化することができ、監視および検出効率が向上し、より焦点を絞り込んだ対応が可能になります。
  • カスタマー エクスペリエンスを損なうことなく不正行為を減らす。組織が自動化ボット トラフィックを緩和する対策を取り、手動による不正行為に対する保護対策を設け、不正対策チームとセキュリティ チームが一丸となって連携し、エクスプロイトに効率的に対応できれば、カスタマー ジャーニー プロセスの妨げとなる従来の不正防御対策の規模を縮小することができます。つまり、不正行為リスクをコントロールできれば、企業は、デジタル チャネルで不正行為リスクが生じることがなくなり、イライラさせるCAPTCHAパズルや他の煩雑なチャレンジレスポンス テストを排除して、正当な顧客のユーザー エクスペリエンスを大幅に改善することができます。

eコマース サイトや他のデジタル サービスを拡張するのに、サイバー攻撃のリスクが拡大してしまっては元も子もありません。F5 Distributed Cloud Bot Defenseなどの高度なボットおよび不正対策ソリューションは、セキュリティの煩雑さを排除しながら攻撃者を出し抜き、顧客のオンラインの安全性とエクスペリエンスを向上させるのに役立ちます。脅威インテリジェンス モデリングと攻撃者の手口を検知するための機械学習といった高度な技術を採用したDistributed Cloud Bot Defenseは、極めて効果的に不正行為とATOに対抗するための適切な対策をリアルタイムで展開できるので、組織は不正行為やカスタマー フリクションを招くリスクを冒すことなく、デジタル イノベーションに邁進できます。

組織に対するボットの経済的影響度を把握するために、ぜひ、ボット管理のための無料のROIコンサルティング セッションにご参加ください。アカウント乗っ取りにつながるクレデンシャル スタッフィング攻撃の詳細については、F5のEブック『クレデンシャル スタッフィング2022:最新の攻撃トレンドとツール』をお読みください。また、F5 Distributed Cloud Bot Defenseによって攻撃と不正行為からオンライン チャネルを保護できる仕組みについては、こちらのソリューションの概要をお読みください。