2023年において不正行為に対抗するための5つのヒント

ますますデジタル化が進む世界では、不正行為のトレンドは絶えず変化し、進化しており、顧客、eコマース ベンダー、金融サービス機関の数と洗練度は増大しています。eコマース詐欺の総被害額は2023年には全世界で480億ドルを超えると予測されており、2022年の410億ドルから増える見込みです。詐欺による被害額が増えている理由は、パンデミックによるオンライン決済やオンライン ショッピングの増加、ユーザー情報をWebから抽出するマルウェアやボットの偏在、人間の脆弱性を突くフィッシング詐欺など、枚挙にいとまがありません。

デジタル時代が到来する前の世の中では詐欺行為は用心深い計画が必要で、こっそりと行わなければなりませんでしたが、現代では人や企業を欺くためのツールがオンラインで簡単に手に入り、詐欺行為に対する障壁は低くなっています。仮想市場、デジタル ウォレット、あらゆるものの現在進行中の自動化により、犯罪者にとってターゲットがこれまで以上に増えているだけでなく、企業サイトに侵入して個人のアカウントを攻撃するための巧妙な技術も手にしています。

ここでは、2023年において詐欺に対抗するための5つのヒントを考察します。サイバー犯罪者が今年、eコマース サイトや金融サービス機関を標的とするために悪用する最新の脅威およびエクスプロイトに備えていただければ幸いです。

1. カスタマー エクスペリエンスに影響を与えずに、複数のセキュリティ戦略を擦り合わせてまとめあげる。
   
   販売業者や金融サービス機関は、組織全体にわたってセキュリティ、顧客IDおよびアクセス管理（CIAM）、不正行為の検知、認証チームとの間でより良い連携を実現する必要があります。犯罪者はチームのサイロ化やCAPTCHAおよび多要素認証（MFA）技術への過剰な依存によって生じた脆弱性にやすやすとつけ込みます。これらのメカニズムは、ログイン試行によるリスクの度合いに関係なく、ユーザー エクスペリエンスを恒常的に低下させます。
   
   透明性の高いリスクベースの継続的認証アプローチによって、販売業者と金融サービス機関は組織内の複数のチーム間でより良く連携し、ユーザー エクスペリエンスに悪影響を与えることなく、アジャイルで信頼性の高い、低ノイズの不正行為検知戦略を導入できます。
   
   
2. 従来の詐欺防止のオムニタッチポイント戦略を拡張して、カスタマー ジャーニー全体にわたる総体的な可視性と洞察を含める。
   
   この戦略では、以下の見過ごされやすい三つの重要な領域に重点を置く必要があります。
   
   
   • 最初のチャネル エンゲージメントの開始：顧客がチャネルに入った瞬間またはアカウントを作成した瞬間から、その行動を注視します。これにより、クライアントサイドの攻撃の可視性を向上させることができます。このような攻撃にはデジタル スキミングやフォームジャッキングなどが挙げられ、新規アカウント作成時の認証情報やカード情報の収集にしばしば使用され、最終的にアカウント乗っ取りや詐欺につながります。
     
     
   • サードパーティAPI統合を検証する：Webおよびモバイル アプリケーションの他にも、販売業者と金融サービス機関は、セキュリティ戦略にAPI保護も確実に含める必要があります。APIは、Webアプリケーションを標的とする同様の攻撃（いわゆる、エクスプロイト）の標的となっており、悪用されてデータ侵害および詐欺につながり、サードパーティ統合およびエコシステムからの意図しないリスクを招くことがあります。
     
     
   • カードが介在しない（CNP）トランザクションによる潜在的詐欺について見直す：近接決済、店頭受け取りサービス（BOPIS）、後払い決済（BNPL）などの新しいサービスを提供している販売業者は、このような取引に必然的に伴うリスクを把握し、詐欺防止戦略によって対処しなければなりません。これには、不正行為に対する洞察を取得して、すべてのチャネルで共有することが含まれます。
     
3. 景気後退の状況下では、フレンドリー詐欺的な申し立てがないか注意する。
   
   販売業者にとって、景気後退期に増加するとされる新たなタイプの詐欺が「偽装フレンドリー詐欺」です。これは、犯罪者が実際の顧客のように見せかけた合成IDを作成し、購入した商品の料金を支払う意思なく取引を行う詐欺です。偽装フレンドリー詐欺の実行者は、防止対策を操作してまんまとすり抜けます。盗んだID情報を簡単に再利用して新たな合成IDを作成し、新しいアカウントを開設して拒否リストのブロック対象となるのを回避できるためです。このようなフレンドリー詐欺行為には、BNPLプログラム悪用、ロイヤルティ ポイント詐欺や返金詐欺、取り込み詐欺などが含まれます。
   
   合成IDを使用した新規アカウント登録から身を守るには、機械学習によって強化された行動生体認証パターンから得られた洞察を活用して、侵害されたアカウントの洞察をセキュリティと不正対策の両チームに提供することが大事です。
   
   
4. デジタル決済の新しい規制を盛り込んだEU決済サービス指令3（PSD3）に備える。
   
   販売業者および銀行にとって、脅威、決済、および規制状況は、2018年に最初の決済サービス指令が発表されてから大きく変化しました。PSD3の規制強化に備えるため、販売業者と銀行は、最近導入した新しいサービス、チャネル、および決済オプションをリストアップする必要があります。たとえば、貴社ではデジタル ウォレットや暗号通貨決済に対応していますか？貴社のシステムおよびWeb資産に組み込まれている、形式の異なるサードパーティ プロバイダの新しいAPIの数はどれくらいですか？
   
   販売業者や金融サービス機関は、既存のAPI戦略と認証戦略に対してコンプライアンス リスクにこだわる姿勢を改めなければなりません。最先端のAPI環境で発生する、全範囲に及ぶセキュリティおよび詐欺リスクを事前に予測して管理することが必要です。
   
   
5. シャドウAPI攻撃とJavaScriptのサプライ チェーン攻撃、および近く発表予定のPCI DSS（Payment Card Industry Data Security Standard）4.0に備える。
   
   組織においてそのサードパーティ エコシステムが拡大し、サイト上のスクリプト数が増えているのに伴い、クライアントサイド攻撃（デジタル スキミング、フォームジャッキング、Magecart攻撃など）につながる可能性のある潜在的な脆弱性ポイントが新たに発生しています。デジタル スキミング攻撃は、犯罪者が1つまたは複数の悪質なスクリプトを埋め込んだり、正当なページやアプリケーション上で既存のスクリプトを操作したりして、ソフトウェア サプライ チェーンのマンインザブラウザ攻撃を仕掛けることで発生します。この攻撃は、サードパーティによって頻繁にスクリプトが更新されるため検出が難しく、組織がセキュリティを見直すプロセスが欠落している場合もしばしば見られます。
   
   また、新しいPCI DSS 4.0要件は、決済処理用のインライン フレーム、チャットボット、広告、ソーシャル シェアリング ボタン、追跡スクリプトなどの機能を有効にするためにeコマース サイトに組み込まれた、ブラウザベースのサードパーティJavaScriptライブラリを監視および管理する必要性に照準を合わせています。新しいPCI DSS 4.0要件の順守は2025年まで義務化されませんが、クライアントサイド攻撃は現に至る所で見られる存在になりつつあります。できる限り早く強化された保護対策を整備することをお勧めします。
   
   組織にとって必要なことは、Webアプリケーションで実行されているJavaScriptライブラリの可視化だけではありません。GDPRやCCPAなどのデータ プライバシー規制の違反を防止し、新しいPCI DSS 4.0要件の6.4.3項および11.6.1項の順守を維持するために、スクリプトがどのようなデータを収集しているのかを把握することも必要です。
   
   ほとんどの組織は、スクリプト管理に対して一元化された制御およびガバナンスを整備していません。貴社のサイト上のサードパーティ スクリプトに脆弱性があり、そのことに気付かなければ、パッチを適用することはできません。Webサイトに現時点で埋め込まれているスクリプトのボリューム、スコープ、および規模を管理して追跡し、セキュリティを確保することに組織が苦労していることを犯罪者は知っており、自身の利益のためにこれらのスクリプトを悪用する方法も知っています。