用語集: サイバーセキュリティ用語と定義

アカウント乗っ取り詐欺(ATO)とは何ですか?

アカウント乗っ取り詐欺、その発生方法、および F5 の検出と防止の戦略について学びます。

アカウント乗っ取り (ATO) は、金融機関、電子商取引、その他のオンライン デジタル サービスを標的とする最も一般的でコストのかかる攻撃です。 犯罪者は、自動化されたボットやその他のサイバー犯罪の手法を使用して、盗んだ資格情報を使用してユーザー アカウントにアクセスし、制御して金銭を得たり詐欺を働いたりします。 アカウント乗っ取り詐欺の影響は現実的です。 Javelin 2022 ID詐欺調査によると、米国の成人の22%がATOの被害者となっています。

仕組み: アカウント乗っ取り詐欺の手法

アカウント乗っ取り詐欺は、一連のサイバー犯罪活動の集大成であり、通常は盗まれた、または侵害された資格情報から始まり、資格情報の詰め込み攻撃につながり、顧客のオンライン アカウントの乗っ取りにつながる可能性があります。 犯罪者はアカウントを掌握すると、アカウントから資金を流出させ、蓄積された価値を現金化し、そのアカウントをさらに詐欺行為に利用することができます。  

最も基本的なクレデンシャル スタッフィング攻撃は、ボットによるブルート フォース攻撃です。これは、攻撃者がアカウントのクレデンシャルと一致するものを見つけるまで、ログイン フォームにランダムな文字の組み合わせを送信します。

認証情報はどのようにして盗まれるのでしょうか?

より高度なクレデンシャル スタッフィング攻撃は、データ侵害時に盗まれた、または侵害された有効なユーザー名とパスワードのペアから始まります。 盗まれた認証情報はダークウェブのマーケットプレイスで簡単に購入できます(サイバーセキュリティハブによると、 2022年だけで220億のデータレコードが公開されました)。

資格情報は、次のようなさまざまなサイバー攻撃やその他のサイバー犯罪の手法によって盗まれる可能性もあります。

  • フィッシング攻撃は、犯罪者が電子メール、テキスト、またはソーシャル メディア メッセージを使用して人々を騙し、ログイン認証情報、銀行口座情報、社会保障番号、その他の機密データなどの個人情報を漏らすソーシャル エンジニアリング攻撃の一種です。
  • キーロギング、Magecart、スキミング、その他の形式のクライアント側マルウェア。悪意のある人物がオンラインチェックアウトフォームに悪意のあるスクリプトを挿入して認証情報を盗みます。 被害者が認証情報やクレジットカード情報を入力すると、スクリプトはデータを攻撃者に送信し、攻撃者はその情報を詐欺に使用したり、他の犯罪者に売ったりすることができます。
  • 中間者 (MitM) 攻撃では、攻撃者はデータ通信を行っている 2 つの正当な当事者の間にプロキシとして介入し、メッセージやデータ トランザクションを傍受します。 これにより、攻撃者は双方からの情報やデータの転送を「盗聴」し、ログイン資格情報やその他の個人情報を収集できるようになります。

サイバー犯罪者は、有効な認証情報を大量に蓄積すると、多くの場合、大規模な認証情報の詰め込みプロセスを開始できます。 消費者の約 3 分の 2 が複数の Web サイトで同じユーザー名とパスワードを再利用しているため、再利用された認証情報はサイバー犯罪者やその自動ボットの軍団によって簡単に悪用されます。 侵害された資格情報の大部分は、他のサイトのアカウントへのアクセスにも使用されます。 攻撃者がアカウントを乗っ取ると、資格情報を変更して正当なアカウント所有者を締め出し、資産を流出させ、アカウントを使用してさらなる詐欺行為を行うことができます。

アカウント乗っ取り詐欺の影響

American Banker のレポートによると、 ATO などの攻撃によるデジタル詐欺の損失は、2023 年から 2027 年の間に世界で 3,430 億ドルを超えると予想されています。 

アカウント乗っ取りは金融分野を超えた影響も及ぼします。 組織のブランドと評判も損なわれ、ビジネスの喪失や、セキュリティの弱点に関する悪評につながる可能性があります。 長期的なブランドダメージが発生する可能性があり、良い評判を再構築するには何年もかかる可能性があります。

組織は顧客の信頼と忠誠心を失い、商取引関係の終了につながる可能性もあります。 企業のセキュリティ対策が不十分なためにアカウントの乗っ取りや高額な不正行為が発生した場合、顧客が不満を抱くのは当然です。

組織は、消費者データを保護できなかった場合、コンプライアンス違反や法的措置に直面する可能性もあります。 EU の一般データ保護規則 (GDPR)、カリフォルニア州消費者保護法 (CCPA)、ペイメント カード業界データ セキュリティ標準 (PCI-DSS) などの法律や基準は、消費者データのプライバシーを確保し、データ侵害が発生した場合に多額の罰金を課すように設計されています。 これには、プライベートデータをボットに公開する ATO 攻撃が含まれます。

アカウント乗っ取り詐欺の検出

ATO の兆候を検出するには、ユーザー アカウントとアクティビティを監視することが重要です。

  • アカウントアクティビティの予期しない変化に注意してください。 これらの変更には、新規または不正な取引、多額の引き出し、トラフィックのランダムかつ散発的な急増、パスワード、住所、支払い受取人の変更要求などが含まれる場合があります。 これらの異常なアクティビティは、アカウントが攻撃を受けている兆候である可能性があります。 このような場合は、アカウントをチェックして、パスワードや電話番号などのユーザーの詳細が変更されていないかどうかを確認します。変更されている場合は、アカウントが乗っ取られた可能性があります。
  • 認識されないログイン試行に注意してください。 ログイン試行が連続して失敗する場合は、悪意のある人物がクレデンシャルスタッフィング手法を使用してアカウントに侵入しようとしている可能性があります。 ログイン試行が通常とは異なる場所から行われた場合や、アカウントが通常非アクティブな時間帯に発生した場合は、特に注意してください。 
  • アカウントにアクセスする新しいデバイスや認識されていないデバイスに注意してください。 新しいデバイスや不明なデバイスからのアクティビティは、アカウントが侵害されたか、詐欺師が盗んだ資格情報を使用してログインしようとしていることを示している可能性があります。 同様に、複数のデバイスが 1 つのアカウントにログインしている場合も、そのアカウントが犯罪者による攻撃を受けている可能性があります。
  • 疑わしい電子メールまたはテキストメッセージ。 フィッシングメールや電子メールの増加は、ユーザーが詐欺師の標的になっていることを示している可能性があります。 不明な送信者からのデジタル メッセージ内の添付ファイルやライブ リンクを決してクリックしないように、また、電話やインターネット経由でユーザー名、パスワード、個人情報や財務情報を他人に提供しないように、顧客に注意してください。 正規の企業は、電子メールやテキストでアカウント情報を要求することはありません。

アカウント乗っ取り詐欺の防止

ATO を防止するための積極的なアプローチには、複数のレベルの保護と戦略が含まれます。 これらには、ベスト プラクティスの方法論、ユーザー教育への重点、リアルタイムのインフラストラクチャ監視、強力な認証保護などが含まれます。

ユーザー教育と意識向上

アカウント乗っ取りを防ぐ最も効果的な方法の 1 つは、リスクを識別してそれに抵抗できるようにユーザーをトレーニングする教育プログラムを実施することです。 ATO 攻撃は多くの場合、フィッシングから始まります。フィッシングとは、悪意のある人物がユーザーを騙してアカウントの認証情報を明らかにさせたり、悪意のあるリンクをクリックさせたりしようとすることです。 フィッシングの電子メールやテキストメッセージは、特に犯罪者がソーシャル メディアから収集できる個人情報が含まれている場合、非常に説得力のあるものになります。 また、ユーザーが適切なパスワード管理の重要性を理解し、強力なパスワード プロトコルの使用を強制するようにしてください。

強力な認証対策

強力な認証では、ログイン試行時に、ユーザー名とパスワード以外に 2 つ以上の検証要素を提示する必要があります。 強力な認証にはいくつかのアプローチがあります。

  • 2 要素認証 (2FA)は、リソースやデータにアクセスするために ID を確立するために 2 つの検証要素を必要とする ID およびアクセス管理のセキュリティ メソッドです。 一般的には、電子メールやテキストから取得したワンタイム パスコードを、スマートフォンや自宅のコンピューターのブラウザーなどの既知のデバイスに入力することになります。
  • 多要素認証 (MFA) 2FA に似ていますが、ログインを成功させるには少なくとも 3 つの検証要素を提供する必要があります。 ほとんどの場合、これには既知のデバイスでワンタイム コードを受信することに加え、指紋読み取り、網膜スキャン、音声認識などの生体認証形式を提供することが含まれます。 2FA と MFA はどちらもオンライン アカウントのセキュリティを強化するための貴重なツールであることに変わりはありませんが、犯罪者の攻撃によって簡単に回避され、使用エクスペリエンスが低下する可能性があるため、ATO 攻撃に対する最終的な防御としてはもはや十分ではないことに注意してください
  • リスクベース認証は、ログイン試行によって生じるリスクのレベルに応じて認証プロセスの要件を調整するアクセス管理方法です。 たとえば、単に口座残高を確認するためのログインでは、パスワードを変更したり、新しい口座に資金を送金したりするためのログインよりも、制限の少ない認証プロセスが必要になります。 基本的に、リスクのレベルが上がると、認証プロセスはより厳しくなり、追加の要素と監視が必要になります。

アカウントの監視と監査

消費者と企業の両方が、アカウントを定期的に監視し、疑わしいアクティビティがないか監査する必要があります。 消費者の場合、これには、残高や口座のアクティビティを監視するために、金融口座やその他の価値が保存されている口座(ロイヤルティ プログラムやギフト カードを含む)に定期的にログインすることが含まれます。

企業や組織は、機械学習や AI ベースの検出を使用してユーザーの通常の行動と一致しない異常なアクティビティを特定することで不正行為を防止するアカウント追跡システムなど、さまざまなテクノロジーを使用してアカウントの継続的な監視と監査を自動化できます。

Web アプリケーション ファイアウォール (WAF)

WAF は、Web アプリケーションに送信される悪意のある HTTP/S トラフィックをフィルタリング、監視、ブロックすることで Web アプリケーションを保護し、許可されていないデータがアプリケーションから送信されるのを防ぎます。これは、悪意のあるトラフィックと安全なトラフィックを判別するのに役立つ一連のポリシーに準拠することで実現されます。 WAF は、潜在的に悪意のあるクライアントから Web アプリケーション サーバーを保護する仲介者として機能します。

ATO アクティビティを検出するために特別に設計されているわけではありませんが、WAF ポリシーはアカウント乗っ取り攻撃を識別してブロックするために役立ちます。 WAF は、ブルートフォース クレデンシャル スタッフィング攻撃に先立つことが多い悪意のあるボット アクティビティの特定にも役立ちます。

ネットワークにボット検出と軽減機能を追加

ボットの軍隊により、犯罪者は攻撃を拡大し、MFA 制御を回避し、詐欺行為を行うことができます。 自動化とは、認証情報の詰め込みやフィッシング攻撃など、割り当てられたタスクを実行するためにボットを大量に展開できることを意味します。 ボット検出ソリューションは、偽のアカウントの作成、在庫の買いだめ、スクレイピング、認証情報のデジタルスキミングなどの悪意のあるアクティビティを可視化します。 ボット検出ソリューションは、フォームジャッキング、デジタルスキミング、Magecart、その他のブラウザベースの JavaScript の脆弱性など、クライアント側の攻撃に関するアラートも提供できます。

アカウント乗っ取り詐欺への対応

ダークウェブには盗まれた認証情報や侵害された認証情報が多数公開されているため、遅かれ早かれ組織がサイバー攻撃を受ける可能性が高まっています。 組織は、サイバー攻撃が組織とその顧客の両方に与える影響に対処するために、事前に強力な対応とプロセスを準備することが不可欠です。

インシデント対応計画

インシデント対応計画では、脅威イベントが特定されたときに実行されるアクティブな手順、利用可能なリソース、およびコミュニケーション戦略を定義します。 インシデント対応計画では、イベントに対応するためのプロトコルを定義し、計画を運用できるように訓練されたインシデント対応チームを特定する必要があります。

顧客への通知とサポート

インシデント対応チームが影響を受けた顧客に直接通知し、何が起こったかを説明し、顧客を保護するためにどのような措置が講じられているかを伝え、侵害されたパスワードが他のアカウントで使用されている場合は変更するよう促すことが重要です。 影響を受けた顧客と連絡を取り続けることは、信頼を再構築するために重要です。

調査と修復

攻撃が検出された後は、インシデントを評価して封じ込め、インシデントの性質と範囲、および影響を受けるシステムを特定することが重要です。 アクセス ポイントが特定されたら、組織は影響を受けるアカウントへの攻撃者の不正アクセスを排除し、侵害されたアカウントを修復して、悪意を持って使用されないようにする必要があります。 不正行為からの回復のレビューの一環として、このような攻撃が再び発生しないようにする方法を分析します。

コミュニケーションと透明性

セキュリティ侵害や攻撃については透明性を持って伝えることが重要です。情報を隠蔽することは、規制当局、メディア、消費者に隠蔽行為とみなされ、攻撃による経済的影響が著しく増大する可能性があるためです。

まとめ

現在、デジタル決済を発行または受け入れるあらゆる組織が ATO の標的となっており、攻撃の脅威は増大し続けています。 これにより、オンライン商人、金融機関、サービス組織は矛盾に陥ります。 より便利なオンライン サービスやアプリに対する顧客の好みを受け入れると、詐欺やその他のサイバー犯罪のリスクが高まります。  アカウントが侵害されると、詐欺師は資金を流出させたり、商品やサービスを盗んだり、他のサイトで使用するために支払い情報にアクセスしたりして、顧客を遠ざけ、収益を減少させます。

従来の 2FA および MFA 制御では、ますます巧妙化する ATO 攻撃を仕掛けるサイバー犯罪者を阻止するにはもはや不十分です。 ATO を防止するには、意図を評価し、デジタル エクスペリエンスを合理化し、不正のパターンや危険な取引を発生前に特定して ATO を停止する、セキュリティと不正防止に対するエンドツーエンドのアプローチが必要です。

F5 がどのように役立つか

F5 のセキュリティおよび詐欺防止ソリューションは、業界で最も包括的なアカウント乗っ取り防止機能を単一のプラットフォームで提供しますDistributed Cloud Bot Defense は、脅威インテリジェンス モデリングや機械学習などの高度なテクノロジーを使用して攻撃者の手法を検出し、適切な対策をリアルタイムで展開して、ボットによる詐欺や ATO に最大限の効果で対抗します。 分散クラウド認証インテリジェンスは、カスタマージャーニー全体を通じて正当なユーザーを認識し、分散クラウド クライアント側防御は、クライアント側のデジタルスキミング攻撃に関するリアルタイムの洞察を提供します。

F5 分散クラウド セキュリティおよび不正防止プラットフォームは、分散クラウド アカウント保護によるログイン後の不正行為の迅速な除去と相まって、意図を評価し、デジタル エクスペリエンスを合理化し、不正行為、収益の損失、顧客ロイヤルティの低下につながる ATO の試みを阻止するエンドツーエンドのアプローチを提供します。