ブログ

ロイヤルティ ポイント プログラムを不正行為から保護する: 5 つの重要なヒント

エンジェル・グラント サムネイル
エンジェル・グラント
2022年7月15日公開

私たちの多くは、ようやく待ちに待った休日の旅行や休暇の計画を立て始めています。これは、パンデミックが始まって以来、初めての本当の休暇のチャンスかもしれません。 ロイヤルティ プログラムで長い間未使用のまま放置され、埃をかぶっている航空マイルやホテル ポイントを交換する計画を立てているかもしれません。 あなたのロイヤルティ アカウントを詐欺または侵害したサイバー犯罪者によってロイヤルティ ポイントが流用されたことがわかったら、どれほど驚くことでしょう。

ロイヤルティ ポイント プログラムは以前から存在しており、顧客を引き付け、維持するための優れたツールですが、現在、これらのプログラムを標的にしてアカウントを侵害する犯罪者が急増しています。 理由? 未使用のロイヤルティ ポイントが大量に存在します。 ロイヤルティ セキュリティ アソシエーションによると、米国だけでもアカウントの 45% が非アクティブとみなされており、つまり、メンバー アカウントには約 48 兆ドル相当の未使用ポイントが残っており、そのほとんどは監視されておらず、おそらく忘れ去られていることになります。 サイバー犯罪者にとっては、こうした無視されたポイントを侵害して金銭化するのは簡単だと考える彼らにとって、これは魅力的なことだ。

犯罪者がロイヤルティプログラムを狙う理由

サイバー犯罪者にとって、ロイヤルティポイントアカウントを侵害することは簡単な攻撃です。 これらの口座には数千ドルの価値が保管されているにもかかわらず、ほとんどの消費者は銀行や金融機関の金融口座ほど注意深く監視していません。 多くのアカウントは単純なユーザー名とパスワードの組み合わせで保護されており、多くの消費者がパスワードを再利用するため、盗んだ資格情報を使用する犯罪者は、自動化されたボット攻撃を使用してロイヤルティ アカウントに資格情報の詰め込みを実行することが比較的簡単です。 犯罪者はポイントを掌握すると、ポイントを換金したり、ギフトカードなどの追跡不可能なアイテムと交換したり、ダークウェブでポイントを金銭価値で販売したりすることができ、詐欺師にとってのリスクは低い。 さらに、犯罪者は、ロイヤルティ アカウントを侵害すると、短期的な金銭的利益が得られるだけでなく、個人を特定できる情報、旅行や滞在のデータ、ショッピング パターンなどを使用した個人情報の盗難など、さらなる不正行為に必要なデータや情報にアクセスできるようになることを知っています。

実際、注意すべきなのはサイバー犯罪者だけではありません。 注意すべきロイヤルティ詐欺には次の 3 つの種類があります。

  • ダブルディップ: これは、正当な会員が「二重取り」、つまり電話とオンラインで同時にポイントを利用することでプログラムを不正に利用する場合です。 あるいは、会員はロイヤルティ アカウント番号を、自分が行っていない購入に関連付けて、不正にポイントを獲得することもできます。 会員は、購入して大量のポイントを獲得し、その後取引をキャンセルすることもできますが、その前にポイントを現金特典に交換する必要があります。 また、正当な消費者やロイヤルティ メンバーがプログラムの抜け穴を操作してポリシーやビジネス ロジックを悪用する可能性もあります。 例としては、クーポンやプロモーション コードを共有すること、販売者のポリシーに違反すること、不正に報酬を得るために同じ報酬プログラムにリンクされた多数のクレジットカードにサインアップすることなどが挙げられます。
  • インサイダージョブ: これは、詐欺行為が組織の内部者または従業員に関係している場合です。 未使用または未請求のポイントを別の会員アカウントに割り当てたり、アカウント間でポイントを不正に転送したりするなどして、ロイヤルティ プログラムを操作する可能性があります。
  • サイバー犯罪者: これまでのところ、ロイヤルティ プログラム詐欺の最大の原因はサイバー犯罪であり、最も一般的な悪用方法は、クレデンシャル スタッフィング、フォームジャッキング、単純なフィッシングなどの自動化ツールによるアカウント乗っ取り (ATO) で、蓄積されたポイントや保存されたクレジットカード情報にアクセスすることです。 クレデンシャル スタッフィングでは、悪意のある人物が侵害された大量のクレデンシャル (別のサイトから侵害されたユーザー名やパスワードなど) を別のサイトのログインに対してテストします。 また、人々は複数のアカウントでパスワードを再利用するため、これらの戦術はロイヤルティ アカウントのロックを解除するのに驚くほど成功し、攻撃者がユーザー名とパスワードを変更してアカウントを乗っ取ることができるようになります。 フォームジャッキングは、ハッカーがアカウントを乗っ取るための別の手段となり、ロイヤルティ プログラムの Web フォームを乗っ取って、消費者が個人情報を入力する際にデータを収集して送信します。 これにより、攻撃者はアカウントの鍵を入手し、ポイントを自由に略奪したり、アカウントを他の不正な目的に使用したりできるようになります。

ロイヤルティポイントプログラムの防御と保護

顧客とロイヤルティ プログラムを不正行為から保護することは非常に重要です。適切に対処しないと、消費者の信頼とブランドの評判に深刻なダメージを与える可能性があります。

しかし、従来のサイバー防御は、ロイヤルティ プログラムに対する高度な攻撃を阻止できるほど強力ではなくなりました。 短いセッション タイムアウト、ジオブロッキング、多要素認証、メンバーに CAPTCHA を解かせることなどに関連する時代遅れの保護と不必要に制限的なポリシーは、ユーザーを苛立たせる可能性があり、簡単に回避されます。

攻撃者はわずか数ドルを費やすだけで、低コストの CAPTCHA 解決サービスを組み込んで基本的なボット防御を回避し、特定の地理的ターゲットの認証情報のより忠実度の高いリストを購入することができます。 犯罪組織は、防御側が活動を阻止しようとすると、戦術や手法を急速に変更する可能性があり、特殊なツールや専任のセキュリティ チームがなければ、攻撃者より先を行くことはほぼ克服できない問題になります。

ロイヤルティ プログラムを不正行為から守るための 5 つのベスト プラクティス

ロイヤルティ プログラムは、ビジネスにとって最も価値のある顧客に報酬を与え、顧客とのより強固な関係を構築するのに役立ちます。 攻撃が増加する中、これらのプログラムとそれによって維持される顧客特典を保護することは、これまで以上に重要になっています。 次の 5 つのベスト プラクティスは、正当なメンバーに監視やポイントの引き換えの過度の負担をかけることなく、最も一般的な攻撃シナリオへの対処に集中するのに役立ちます。

  1. 新規アカウントの詐欺行為を防止します。 新規アカウント詐欺では、詐欺師が盗まれた身元、合成された身元、またはその他の偽の身元を使用して、多くの場合は大規模にロイヤルティ アカウントを作成します。 犯罪者はこれらの不正アカウントを利用してポイントを蓄積して転売したり、交換プログラムを悪用したりすることができます。 攻撃者が自動ツールや高度な手動手法を使用して複数の偽アカウントを作成しようとした場合、サイバー防御ソリューションでそれを検出できることを確認してください。
  2. アカウント乗っ取りの試みを軽減します。 ポイントを盗んだり、保存された顧客の個人データを悪用しようとする犯罪者によるアカウント乗っ取りの試みを防御によって検出できるようにします。 防御は、攻撃パターンの変化に適応し、リアルタイムで再編成できる必要があります。 ロイヤルティ プログラムのトラフィックを監視して入力パターンを把握し、テレメトリ信号を使用して異常な動作を検出することで、トラフィックが悪意のあるボットからのものか人間からのものかを判断します。
  3. 賞金の換金取引を保護します。 各取引の信頼性とそれに関連付けられた顧客 ID を正確に判断することにより、アカウントにリンクされたクレジットカードからのロイヤルティ リワードの引き換えと支払いが正当であることを確認します。 人工知能と機械学習を使用してトランザクションの動作を監視するツールでプログラムを保護し、ログイン試行によって生じるリスクに基づいて適切な認証プロセスを選択する適応型認証を採用します。 たとえば、パスワードの変更や大量のポイントの換金など、リスクの高いアクティビティには、強化されたセキュリティチャレンジが必要になる場合があります。
  4. ポリシーの乱用を監視します。 あらゆるやり取りの時点で信頼を評価することにより、クーポンやプロモーション、割引、紹介ボーナスの悪用や操作による金銭的損失を制限するための予防策を講じるようにしてください。
  5. 内部の脅威を理解する。 ロイヤルティ プログラムも内部者からの脅威の影響を受けやすいです。 必ずサイトスタッフのアクティビティを追跡および測定して異常を監視し、ロイヤルティ プログラム データへの従業員のアクセスを制限してください。

顧客がロイヤルティポイント詐欺を回避できるように支援する

ロイヤルティ プログラムとその資産を保護するだけでなく、次のヒントを共有して、プログラム メンバーがポイントや特典を不正行為から守れるように支援してください。

  • 会員は、他の金融口座と同様に、ロイヤルティ プログラムを監視する必要があります。 ロイヤルティ プログラムには数千ドルの価値が含まれる可能性があるため、顧客は定期的に自分のアカウントをチェックして、不正に操作されていないことを確認する必要があります。
  • 強化されたセキュリティ オプションを活用します。 可能な場合は、多要素認証などの追加のセキュリティ機能を使用するようにメンバーに勧めます。 セキュリティ層が追加されるごとに、詐欺師がアカウントを侵害することがより困難になります。
  • 旅行プロモーションのメールやソーシャルメディアの投稿には注意してください。 プロモーションをどのように、どこで伝えるかについて顧客に説明します。 良すぎると思われる旅行のオファーは、おそらくそうではないことを顧客に理解してもらいます。 フィードに表示される迷惑メールのオファーや取引は、ログイン認証情報やクレジットカード番号などの個人データを盗むことを目的としたフィッシング詐欺である可能性が高いです。 返答して情報を提供する前に、メンバーは送信者のメール アドレスが正当であることを確認するか、ロイヤルティ プログラムに直接連絡して (受信したメールやソーシャル メディアの投稿経由ではなく)、オファーまたはリクエストが本物であることを確認する必要があります。  

F5は、ロイヤルティプログラムの不正行為から組織を守るお手伝いをできることを誇りに思っています。

メンバー アカウントを狙って貴重なポイントやマイルを獲得し、ブランドに損害を与える可能性のある自動化された攻撃や不正行為から、F5 がどのようにして多くの組織を保護し続けているかをご覧ください。 この顧客事例を読んでDistributed Cloud Bot Defense がどのようにして大手グローバル航空会社のマイレージ アカウントを侵害する自動化された Web サイト攻撃を阻止するのに役立ったかを確認してください。

ロイヤルティ ポイント、ギフト カードの価値、その他の保存された価値が犯罪者の手に渡らず、顧客の手に渡るようにするための方法については、次の Web サイトをご覧ください: https://www.f5.com/solutions/ecommerce