BLOG

5つのヒント:ロイヤルティ ポイント プログラムを詐欺から守る

Angel Grant サムネール
Angel Grant
Published July 15, 2022

私たちの多くは、待ち望んでいた休暇旅行やバケーションをようやく計画し始めています。おそらく、パンデミックが始まって以来、実際に短期休暇をとる初めてのチャンスでしょう。ロイヤルティ プログラムで使わずにたまっていたマイレージやホテルのポイントを償還する予定の方もいるかもしれません。サイバー犯罪者によってロイヤルティ ポイントが吸い取られたことが判明したとしたら、どれほど驚くか想像できますか。サイバー犯罪者は、あなたのロイヤルティ アカウントに対して不正を働き、侵害したのです。

ロイヤルティ プログラムは長年利用されており、顧客を引き付けて保持するために効果的なツールですが、現在、これらのプログラムを標的としてアカウントを侵害する犯罪者が急増しています。なぜでしょうか。未使用のロイヤルティ ポイントが多量にあるからです。Loyalty Security Associationによると、米国だけでも、アカウントの45%が非アクティブと見なされています。これは、48兆ドル相当のポイントが、ほとんど監視されず、ほぼ忘れられた状態でメンバーのアカウントに未使用のまま放置されていることを意味します。これらの放置されたポイントが簡単に侵害でき、個人的利益のために収益化できることに気付いたサイバー犯罪者を引き付けています。

犯罪者がロイヤルティ プログラムを標的にする理由

サイバー犯罪者にとって、ロイヤルティ ポイント アカウントへの不正アクセスは簡単に実現できます。これらのアカウントには数千ドルの価値があるにもかかわらず、ほとんどの消費者は銀行や金融機関の金融口座ほど綿密に監視していません。多くのアカウントは、単純なユーザー名/パスワードのペアで保護されており、消費者の多くはパスワードを再使用しているため、盗んだ資格情報を使用する犯罪者は、自動化されたボット攻撃を使用してロイヤルティ アカウントに対してクレデンシャル スタッフィングを行うことが比較的簡単であることを理解しています。ポイントの管理を掌握すると、犯罪者はそのポイントを換金したり、ギフト カードなどの追跡不能なアイテムに交換したり、ダークWebでポイントを売ってお金に換えたりすることができます。しかも、これらはすべて詐欺師にとって低リスクで行うことができます。加えて犯罪者は、ロイヤルティ アカウントへの不正アクセスによって、短期間で金銭上の利益がもたらされるだけでなく、個人情報、旅行や宿泊のデータ、買い物のパターンなどを使用したなりすまし犯罪などのさらなる不正行為を働くためのデータやインテリジェンスにもアクセスできることを知っています。

実際のところ、警戒が必要なのはサイバー犯罪者だけではありません。目を光らせておくべき3種類のロイヤルティ詐欺をご紹介します。

  • ダブルディップ:これは、正規のメンバーが「ダブルディッピング」すること、つまり電話とオンラインで同時にポイントを償還することによって、プログラムに対して詐欺行為を働く場合です。あるいは、メンバーが行っていない購入にそのメンバーのロイヤルティ アカウント番号を関連付けて、不正にポイントを稼ぐこともあります。購入を行って大量のリワード ポイントを獲得した後で、ポイントを賞金に換えてから、トランザクションをキャンセルするメンバーもいます。さらに、正規の消費者およびロイヤルティ メンバーが、プログラムの抜け穴を巧みに利用することでポリシーまたはビジネス ロジックを乱用することもあります。例としては、クーポンやプロモーション コードの共有、商業ポリシーの違反、同じリワード プログラムに紐づけされたさまざまなクレジット カードへの登録による不法な報酬の獲得などが挙げられます。
  • インサイダー ジョブ(内部犯行):これは、不正行為に組織の内部関係者または従業員が関与している場合です。彼らは、未使用または未請求のポイントを別のメンバー アカウントに割り当てたり、アカウント間でポイントを不正に移動したりすることによってロイヤルティ プログラムを操作できます。
  • サイバー犯罪:ロイヤルティ プログラムの不正使用の最大の発生源は間違いなくサイバー犯罪であり、最も一般的なエクスプロイトには、クレデンシャル スタッフィング、フォームジャッキング、単純なフィッシングなどの自動化されたツールを使用したアカウント乗っ取り(ATO)が含まれます。これにより、蓄積したポイントや保存されているクレジット カード情報にアクセスします。クレデンシャル スタッフィングでは、攻撃者は、別のサイトのログインに対して、侵害された多数の資格情報(別のサイトから侵害したユーザー名やパスワード)を試します。多くのユーザーは複数のアカウントでパスワードを再使用するため、これらの戦術はロイヤルティ アカウントのアンロックに非常に有効であり、攻撃者はユーザー名とパスワードを変更することで、アカウントを乗っ取ることができます。フォームジャッキングは、ハッカーがアカウントを乗っ取るための別の手法です。ハッカーは、ロイヤルティ プログラムのWebフォームを乗っ取って、消費者が個人情報を入力する際にデータを収集して転送します。これにより攻撃者はアカウントへの鍵を取得し、いつでもポイントを略奪したり、他の不正な目的でアカウントを使用したりすることができます。

ロイヤルティ ポイント プログラムの防御と保護

顧客とロイヤルティ プログラムを不正なアクティビティから保護することは非常に重要です。適切に対応しなければ、消費者の信頼とブランドの評判が大きく傷つく可能性があります。

ただし、従来のサイバー防御には、ロイヤルティ プログラムに対する高度な攻撃を阻止するだけの十分な力はありません。時代遅れの保護や、短時間のセッション タイムアウト、ジオブロッキング、多要素認証、メンバーへのCAPTCHA解決の強制を伴う必要以上に制約的なポリシーは、ユーザーの不満を招き、避けられやすくなります。

数ドルの出費で、攻撃者は基本的なボット対策をバイパスするために、低コストのCAPTCHA解決サービスを統合したり、特定地域の標的に関する信ぴょう性の高い資格条件リストを購入したりすることができます。セキュリティ対策によって犯罪組織のアクティビティを防ごうとすると、犯罪組織は戦術や手法を迅速に変更できます。そのため、常に攻撃者の先を行くという課題は、特殊なツールや専門のセキュリティ チームなしで克服することはほぼ不可能です。

ロイヤルティ プログラムを不正行為から保護するための5つのベスト プラクティス

ロイヤルティ プログラムは、ビジネスにおいて最も貴重な顧客に報酬を与え、顧客との関係を強化するために役立ちます。攻撃の増加に直面している今、これらのプログラムとプログラムで保持する顧客の報酬を保護することが、以前にも増して重要になっています。以下の5つのベスト プラクティスは、正規のメンバーにポイントの監視や償還などの負担を必要以上に追わせることなく、最も一般的な攻撃シナリオへの対応に重点的に取り組む上で役立ちます。

  1. 新規アカウント詐欺の防止。新規アカウント詐欺では、詐欺師は、盗んだIDや合成ID、あるいは偽のIDを使用して、通常は大規模にロイヤルティ アカウントを作成します。犯罪者はこれらの不正アカウントを利用して、ポイントを蓄積したり再販したりして、償還プログラムを乱用します。攻撃者が自動化されたツールや高度な手動の手口を使用して複数の偽アカウントを作成しようとしたときに、お使いのサイバー防御ソリューションでそれを検出できることを確認します。
  2. アカウント乗っ取りの取り組みの緩和。防御対策で、ポイントの盗難や保存されている顧客の個人データの悪用を目的とした犯罪者によるアカウント乗っ取りの試みを検出できることを確認します。お使いの防御対策で、攻撃パターンの変更や攻撃手法の改良にリアルタイムで適応できなければなりません。ロイヤルティ プログラムのトラフィックを監視して、入力パターンを理解し、テレメトリ シグナルを使用して異常な動作を検出し、トラフィックが悪意のあるボットまたは人間からのものかどうかを判断できるようにします。
  3. 賞金のキャッシュ アウト トランザクションの保護。各トランザクションと、それに関連付けられた顧客IDの信頼性を正確に判断することにより、アカウントにリンクされたクレジット カードからのロイヤルティ リワードの償還と支払いが正当であることを確認します。人工知能と機会学習を使用するツールによってプログラムを防御し、ログイン試行によって生じるリスクに基づき適切な認証プロセスを選択する適応型認証を採用します。たとえば、パスワードの変更や大量のポイントの換金など、リスクの高いアクティビティにはセキュリティ強化の課題が必要になる可能性があります。
  4. ポリシー乱用の監視。クーポンやプロモーション、割引、または紹介ボーナスの悪用や操作による経済的損失を制限するために、やり取りの至る所で信頼性を評価することにより、防止対策が整っていることを確認します。
  5. 内部脅威の理解。ロイヤルティ プログラムは、内部関係者からの脅威にもさらされがちです。サイト スタッフのアクティビティを追跡および測定し、異常がないか監視し、従業員によるアクセスをロイヤルティ プログラム データのみに限定します。

顧客がロイヤルティ ポイント詐欺を避けるための支援を提供

ロイヤルティ プログラムとその資産の保護に加え、以下のヒントを共有して、プログラム メンバーがポイントとリワードを防御できるよう支援します。

  • メンバーは、他の金融口座と同様にロイヤルティ プログラムを監視する必要がある。ロイヤルティ プログラムには、数千ドルの価値がある可能性があるため、顧客は定期的にアカウントをチェックし、アカウントが改ざんされていないことを確認する必要があります。
  • 強化されたセキュリティ オプションを活用する。多要素認証などの追加のセキュリティ機能が利用可能な場合は、それを使用するようメンバーに奨励します。セキュリティのレイヤが増えるほど、詐欺師がアカウントを侵害することが困難になります。
  • 旅行のプロモーション メールやソーシャル メディアの投稿に注意する。プロモーションの通知の方法と場所について、顧客を教育してください。話がうますぎると思われる旅行のオファーは多分その通りであることを顧客が理解していることを確認します。一方的なメールでのオファーや、フィード(タイムライン)に表示されるお得な情報は、ログイン資格情報やクレジット カード番号などの個人データを盗むように設計されたフィッシングである可能性が高いのです。返信して情報を提供する前に、メンバーは送信者のメール アドレスが正規のものであることを確認するか、(受け取ったメールやソーシャル メディア投稿を使わずに)ロイヤルティ プログラムに直接問い合わせ、オファーまたはリクエストが本物であることを確認する必要があります。

ロイヤルティ プログラム詐欺から組織を保護できるようF5が支援

メンバー アカウントを狙って貴重なリワード ポイントやマイルを採取することでブランドを傷つける可能性のある自動化された攻撃や不正なアクティビティから多くの組織をF5がどのようにして守り続けているかをご覧ください。こちらの顧客事例を読み、世界的な大手航空会社が、Distributed Cloud Bot Defenseによってマイレージ サービス アカウントをリスクにさらしていた自動化されたWebサイト攻撃をどのようにして阻止できたかをご覧ください。

ロイヤルティ ポイント、ギフト カードの価値、その他保存されている価値が、犯罪者のものではなく、顧客のものであり続けることを保証するために当社がどのように支援できるかについては、https://www.f5.com/ja_jp/solutions/ecommerceをご覧ください。