銀行が不正検知のためにデバイスの識別を超える必要がある3つの理由
金融機関では、不正防止、ログイン時やリスクの高いアクティビティの際のユーザー認証に、定期的にデバイスIDを使用しています。これは、オンラインでのやり取りを保護するために使用できる情報の1つです。しかし、静的な対策に依存する他のセキュリティ・ツールと同様に、サイバー犯罪者はこれを回避する方法を見出しています。顧客口座の乗っ取りは、金融機関に最も大きな経済的影響を与える詐欺手法の一つであり、最大の悩みの種となっています。最近の調査では、世界の銀行の72%が口座の乗っ取りを主要な懸念事項として挙げています。
また、金融機関では、口座開設の過程でかなりの確率で不正が行われており、正規の申請者とサイバー犯罪者を正確に見分けることが困難な状況です。金融機関は、新規顧客の獲得によるビジネスの成長を重視しているため、不正な口座開設はビジネスに大きな影響を与える可能性があります。新規顧客の端末はこれまで確認できていないため、端末の識別は新規口座の不正利用を防止する上で役に立ちません。
結論からいうとデバイスIDは、ログイン時やデジタルアカウント開設時以外にも十分な可視性を提供できないため、その価値は時間の経過とともに徐々に失われています。
Device Identityとは?
デジタル・アイデンティティは、「知っていること」「持っていること」「自分が誰であるか」という3つの側面に基づいており、これはデジタル・アイデンティティを主張するための3つの認証要素とも言われています。
- 「What You Know(知っていること)」
電話番号、過去の住所、社会保障番号、パスワードなどの個人を特定できる情報(PII)など、ID保持者だけが知っているべき静的な情報 - 「What You Have(持っていること)」
所持していることで本人確認を行うためのユニークなトークンやデバイス - 「Who You Are(あなたが誰であるか)」
指紋や顔、音声、または特定のユーザーの行動などのバイオメトリクスで、タップ圧やスワイプのパターンなど、個人がデバイスをどのように操作したか、またはフォームに情報を入力したかに基づいて判断
デバイスIDは「What You Have」に該当し、Cookieなどの仕組みでデバイスを一意に識別するものです。デバイスIDの発展形がデバイスフィンガープリントで、デバイスに関する固有の情報を収集し、それを使ってデバイスと個々のユーザーを結びつけることができます。このツールでは、ブラウザ、オペレーティングシステム、インターネット接続、IPアドレス、ジオロケーションなどのデータが収集されます。
デバイスIDコントロールの死角
最初の2つのカテゴリーだけでは、もはやデジタルIDを十分に確認することはできません。データ流出、フィッシング詐欺、ソーシャルメディアによって、「What You Know」カテゴリーの情報はサイバー犯罪者が簡単にアクセスできるようになりました。デバイスIDを含む 「What You Have」もまた、大きな課題を抱えています。デジタルIDは、金融機関が初めて確認する顧客であっても、その人物が本人であることを確認するために日常的に使用できるように、明確に定義されていなければなりません。ここでは、デバイスIDがどのように不足しているかを3つ紹介します。
その1:サイバー犯罪者が回避するのは簡単すぎる
サイバー犯罪者は、セキュリティや認証の制御を回避するための新しい方法を見つけるために常に進化しています。デバイスIDは、その一つです。サイバー犯罪者は、いくつかの方法を用いることで、簡単にデバイスを乗っ取ったり、デバイスの使用を隠したりすることができます。
リモートアクセスツール
ほとんどの不正防止ソリューションは、不正リスクを測定するために、既知のデバイスとIPロケーションパラメータに依存しています。しかし、サイバー犯罪者が正規の顧客にリモートアクセスツール(RAT)をダウンロードして使用するように仕向ければ、TeamViewerなどの正規のツールであれ、RAT機能を含む金融マルウェアであれ、デバイスID管理を回避することが可能です。RATを使用すると、サイバー犯罪者はデバイスを完全に乗っ取り、正規ユーザーのデバイスから取引が行われているようにみせかけることができます。RATが存在する場合、銀行のシステムは、プロキシの痕跡がなく、適切なIPとジオロケーションを持つ、本物のデバイスのフィンガープリントを検出します。
ソーシャルエンジニアリング
リアルタイムのソーシャルエンジニアリング手法により、サイバー犯罪者は、銀行の顧客に対し、自身のデバイスから不正な取引を開始するよう強制します。ソーシャルエンジニアは、銀行関係者を装い、顧客に新しい口座への緊急送金を行うよう説得します。この口座は、結局、犯罪者が管理するミュール口座となります。取引や支払いは認証されたセッション内で、信頼できるデバイスと場所から行われ、マルウェアを使用していないため、デバイスベースやアクティビティベースの従来の不正防止ツールでは、このような攻撃を検出することができません。英国のconsumer watchdog group Which?によると、詐欺の被害者はソーシャルエンジニアリングにより支払い詐欺で毎時28000ポンドを失っています。
IDのなりすまし
サイバー犯罪者は、プロキシIPアドレスや正規のユーザー端末にあるマルウェアからのMitB(man-in-the-browser)攻撃などの手法を用いて、あたかも事前に特定・認証した端末から操作しているかのようにデバイスIDをマスキングすることができます。また、サイバー犯罪者は、IPや位置情報だけでなく、デバイスのフィンガープリントやJavaScriptの要素を偽装するMitM(man-in-the-middle)攻撃も生み出しています。
#その2:ユーザーとデバイスの紐付けが難しすぎる
また、ユーザーの端末の買い替え頻度が高いことも、二次的な課題となっています。新機種が発売されたり、携帯電話を紛失したり、壊れたり...デバイスが定期的に変わることで、IDが固定され安定するという要件は満たされなくなります。
また、自宅のオフィスのデスクトップパソコンのように、複数の人が使うことができるデバイスもあります。このようなデバイスを複数のユーザーで共有し、認証に使用した場合、どのユーザーがそのデバイスでセッションを行っているのかを知る方法はありません。例えば、私たちのチームのメンバーが、6歳の息子にApple App Storeアカウントのパスワードを覚えさせ、395ドル相当の課金をさせたというデバイス認証の問題を経験したことがあります。これは、6歳の子供がゲーム・トークンを購入するという無邪気な違反行為の例ですが、デバイス認証だけではセキュリティがいかに脆弱であるかということを教えてくれているのです。簡単にいえば、デバイスはユーザーではありません。デバイスは活動のリスクを軽減するための1つのレイヤーではありますが、最終目的であってはなりません。ブラジルなど一部の国では、デバイスの盗難が大きな問題となっており、金融機関はアカウントの乗っ取りから保護するための追加的なレイヤーを求めています。また、新しいデバイスの登録は、通常、パスワードを使用して行われますが、これは最も弱いリンクと考えられています。
3:新規ユーザーの確認機能がない
新規口座開設の場合、端末IDはほとんど影響を与えませんが、これは新規ユーザーがまだ端末履歴を持っていないことが主な理由です。金融機関にとっては、犯罪者も新規顧客も同じように未知のデバイスを使用していることになります。万が一、サイバー犯罪者が高リスクの端末を使用することが確認されれば、何らかの付加価値が生まれるかもしれませんが、そのようなケースはほとんどないでしょう。
サクセスストーリー:銀行はいかにしてあらゆる状況をカバーできるか
デバイスIDは依然として有効な不正検知ソリューションであり、見捨てるべきではありません。デバイスIDが極めて有用となる不正の操作モードは、まだ多くの種類があります。しかし、デバイスIDではカバーできない、あるいはその価値が限定的なユースケースもあります。そこで、金融機関がすべての基盤をカバーできるように、行動的生体認証が登場するのです。
英国の大手銀行5行は、最近、モバイルバンキングアプリに行動的生体認証を導入しました。この銀行は、本番稼動後数日のうちに、RATの機能を利用してユーザーのデバイスを乗っ取る金融マルウェア「TeaBot」に関連した多数の詐欺行為を検知しました。マルウェアは、一般ユーザーとは大きく異なる挙動を示し、これらの指標はほとんどのマルウェアファミリーに共通しています。これらの挙動は、ナビゲーションパス、加速度計のデータ、タッチやスワイプのパターンなどの行動から明らかになります。多層構造の不正防止戦略の一環として行動的生体認証を適用することで、英国の大手銀行数行を含む最近の導入事例では、デジタルバンキングのセッションにおけるマルウェアの使用を1対1の検出率で特定し、良好な結果を示しています。
行動的生体認証は、交差開設の保護にも変化をもたらしています。口座開設時のタイピング速度、スワイプパターン、マウスクリックのひとつひとつが、犯罪行為か本物のユーザー行動かを物語っています。例えば、BioCatchのデータでは、口座開設詐欺の3件のうち2件は、個人情報に精通していないことが判明しています。そのため、初めての顧客であっても、信頼できる行動を認識することができ、口座開設のプロセスをスムーズに進めることができるのです。
デバイスIDの枠を超えた不正検知戦略
今日の脅威に対処するためには、顧客との信頼関係を築き、デジタルチャネル全体のリスクを管理し、サイバー犯罪による金銭的損失を制限する多層的なソリューションが必要です。行動的生体認証、デバイスID、および高度な機械学習モデルによって分析された追加のデータポイントを重ねることで、金融機関やデジタル企業は包括的な不正管理戦略を展開し、顧客が安心してやりとりできるオンライン環境を構築することができます。
ガートナーの副社長であるAkif Khan氏の最近のブログ投稿にあるように、「ユーザーの行動を見ることは、リスクや信頼のシグナルを非常に豊富に追加することになり、今日の環境では、デバイスフィンガープリントソリューションの上に多層防御を作成するための必需品となります」。
電子書籍「4 Ways Financial Scammers Are Getting Ahead」では、サイバー犯罪者が既存の詐欺対策を克服するために用いている最新の手口について詳しく解説しています。