ユーザーの不満を生まずに詐欺を阻止する

現代のサイバー攻撃を検知し、撃退する方法

デジタル トランスフォーメーションがかつてないスピードで加速する中、収益の確保、顧客ロイヤルティ、ブランド認知度などの戦略的イニシアチブの主戦場は現在、オンラインになっています。

また、ハッカーによる乗っ取りが増え、アカウント乗っ取り(ATO)、詐欺被害、ブランドの毀損を引き起こしています。その標的は、eコマース アプリケーションを運営したり、価値のあるユーザー アカウントを管理したりするすべてのビジネスです。

オンライン詐欺のROIの高さ

攻撃者は、人々が重要な購入の前にコストと価値を評価するのと同じ方法で、時間とリソースをどこに費やすかを決定します。攻撃にかかるコストが安く、莫大な対価が得られるような標的なら、攻撃するという決断をすぐに下すでしょう。標的の価値が非常に高いが、強固に保護されている場合、攻撃にはより多くの投資が必要で、攻撃を成功させるためのコストが高くなります。

今日の攻撃者は、ツール、インフラストラクチャ、そして侵害されたデータがすぐに手に入るため、自動化によって価値の高いデータをわずかなコストで盗めることも少なくありません。技術が進歩すればするほど、攻撃が困難な標的であっても、コストは下がります。では、攻撃者がサイトを攻撃する気を失わせるには、どうすればよいでしょうか?攻撃者に決断させないことです。

Eブック『攻撃者の経済学:ハッカーのコストと価値』で攻撃者の意欲をそぐための新たな戦略を学びましょう

有名な銀行強盗であるウィリー サットンは、1900年代初頭、40年間で推定200万ドルを盗み出しました。なぜ銀行強盗をしたのかと聞かれたとき、彼は「そこにお金があったからだ」と答えました。もし、ウィリー サットンが現代に生きていたら、彼はもう銀行強盗をしていないだろうことは容易に想像できます。その替わりにアプリケーションを攻撃しているでしょう。

詐欺ビジネスは、これまで以上に大規模に(そして賢く)なっている

オンライン詐欺は始めやすく、リソースが簡単に手に入るため、大きなビジネスになり、個人識別情報(PII)をマイニングするプロセスは産業的規模に達しています。過去7年間だけで300億件以上の記録が盗まれています。

現状は受け入れがたいものとなっています。オンライン詐欺による損失の見積もりは驚異的な金額となり、ビジネス リーダーらは、チャージバックの支払いを見越して予算を確保していることも少なくありません。さらに、詐欺を阻止することを目的としたセキュリティ対策によって、実際の顧客が不満をつのらせ、取引の中止や収益の損失につながる可能性があります。

巧妙なサイバー犯罪から重要な資産を保護し、ビジネス上、必須の戦略事項を確実に成功させるには、事業者は、攻撃者の進化に合わせて組織を適応させる必要があります。

Aite Groupホワイト ペーパー『詐欺の産業化:火をもって火を制す』

Return To Hub ›

今日、ほとんどのWebサイト訪問者は人間ではなく、ボットです。

チャットボットや検索エンジンなど、無害のボットもありますが、ほとんどは悪意のある攻撃者が不正アクセスを取得し、顧客アカウントを乗っ取り、詐欺をはたらくために使用する不正なボットであり、これらはカスタマ エクスペリエンスも損ないます。また、攻撃者はユーザーの行動を模倣し、CAPTCHAなどの一般的な対策を回避するために絶えずツールを作り変えています。ここでは、最も関連性の高い自動攻撃の傾向と、それらに対抗する方法についてご説明します。

インフォグラフィックを見る

ボットをつぶす

eコマース ビジネスを守る ›

クレデンシャル スタッフィング:攻撃者が実際の顧客を危険にさらす

企業のオンラインおよびモバイル トラフィックの90%以上は、顧客データを盗んで詐欺をはたらくことを目的として自動攻撃を行うサイバー犯罪者によるものである可能性があります。

これらの攻撃はクレデンシャル スタッフィングと呼ばれ、アカウントの乗っ取りや重大な詐欺被害につながりかねません。また、アプリケーションのパフォーマンスに悪影響を及ぼし、分析結果を誤る可能性もあります。さらにはそれでも不十分で、攻撃者がロイヤルティ プログラムから金銭やポイントを吸い上げることで、顧客の信頼を脅かすことを目的とする場合もあります。

顧客ロイヤルティ プログラムへのリクエストの98.5%が攻撃でした。

F5ファミリの一員であるShapeのソリューションでは、クレデンシャル スタッフィングを打ち破るために多面的なアプローチを採用しており、週に40億件以上の取引を保護しています。

Shapeは、サイトやアプリケーションに接続が行われるたびに、デバイスIDを作成して割り当てます。このIDは、サイトにアクセスする各デバイスに割り当てられる一意の識別子で、高度な信号収集と機械学習アルゴリズムを利用してリアルタイムで作成されます。Shapeソリューションは、この一意の識別子と他の信号を利用して、侵害された認証情報を使用した試みをリアルタイムで識別して阻止し、人間の行動を模倣するボットや、アプリケーションを手動でハッキングして自動化防止対策を回避しようとする詐欺行為をブロックします。

Shape Enterprise Defense:ソリューションの概要

F5ファミリの一員であるShapeは、世界中の大企業に代わって、週40億件以上の取引を巧妙な攻撃から保護しています。

ビジネスに損害を与えている、CAPTCHAなどのサイバーセキュリティにまつわる神話

サイトへの自動攻撃を軽減するためにCAPTCHAを使用していますか?もしそうなら、それはおそらく機能しておらず、顧客が不満をつのらせて離れていくなど、意図しない結果を引き起こしている可能性があります。また、自動化されたものと人間が行うものを含め、サードパーティによるCAPTCHA解決サービスの増加に伴い、CAPTCHAをバイパスすることがますます簡単になっています。Webアプリケーションとモバイル アプリケーションにはより優れた保護対策が必要です。

たとえ説得力があるように聞こえても、実際のビジネス上の意思決定やセキュリティの成果の判断を神話に基づいて行うべきではありません。

ビジネスに損害を与えているサイバーセキュリティにまつわる神話

Return To Hub ›

小売店が顧客の不満を生むことなく詐欺を阻止

高級品の提供と快適なオンライン エクスペリエンスで知られる北米のこの小売チェーンは、優れたカスタマ エクスペリエンスを提供していることに誇りを持っていましたが、合理化されたシステムを悪用した自動攻撃によって大きな被害を受けました。

従来の対策(CAPTCHA、IPアドレスのブロックなど)で攻撃者に対抗しようとして失敗した後、この小売店はShapeのソリューションに助けを求めました。3週間の検証を経て緩和策を導入したところ、すぐに成果が現れました。

Shapeをブロッキング モードにした初日から、自動化による詐欺行為がほぼ100%無くなりました。

北米の小売店CIO

お客様は誠実でまた来店していただけますが、詐欺師は違います。一度阻止すればもう現れません。

北米の小売店CIO

適応型セキュリティ アプローチ

その後の30日間で、この小売店は、アカウントの乗っ取りとギフト カードのクラッキングによって50万ドル以上が失われていたであろう詐欺行為を防ぐことができました。攻撃者はShapeの防御を回避しようとしましたが、Shapeは何百ものネットワーク、デバイス、および環境の信号を追跡できるため、攻撃者を簡単に発見し、再びブロックしました。

自動攻撃がShapeによって撃退されたため、元のサーバーへの訪問者は人間だけになりました。これは以前の負荷のわずか1%です。Shapeは、トラフィックの99%を削減することで、「当社のインフラストラクチャから大きな負担を取り除き、収益を押し上げることに直接的な影響を与えました。」

小売店がシューズボットの急増を解決し、詐欺行為、顧客の不満、偽物に対処

この小売店が成功したのは、初期の緩和対策だけでなく、攻撃者の変化する戦術に適応できるソリューションがあったからです。攻撃者は、標的が十分に魅力的であれば、静的なセキュリティ対策を回避する方法を探します。実際、攻撃者は現在、訓練された人工知能(AI)モデルを活用してセキュリティを回避しています。組織、特に機密性の高い顧客情報を保護する組織は、アプリケーションの立ち上げ後もそのセキュリティと完全性を確保するために、ビジネス パートナーやテクノロジー パートナーに責任を課す必要があります。

偽予約の事例:信号とデータ共有の力でアプリケーション攻撃を阻止する

防御が改善されて疑わしい動作がブロックされると、次に攻撃者は個々のユーザーをあらゆるニュアンスで悪用し、模倣するツールを作成しました。

変化する攻撃戦略の常に先を行くことは、今後も続く戦いです。

ますます高度化する自動化を阻止し、ボットベースの詐欺行為のROIを最小限に抑えるために詐欺緩和対策を進化させても、攻撃者は諦めません。人間の行動を模倣する、人間によるクリック ファームを組織する、アプリケーションを手動でハッキングするなど、特定が難しい方法へと戦術をシフトするでしょう。今日の対策の主眼は自動化ですが、組織は自動化された詐欺と人間主導の詐欺のハイブリッド戦術に対応できるように備えなければなりません。

今日の企業が直面しているサイバー脅威は今後も増加し続けるでしょう。世界的に見ても、詐欺による損失は毎年2桁台で増加しています。デジタル化が進み、より多くの顧客がオンラインでサービスを求めているため、リスク対象は拡大し、侵入しやすくなっていくでしょう。企業が将来の脅威に備えるには、売上の可能性、純利益への圧力、およびカスタマ エクスペリエンスを包括的に考慮する、セキュリティへの機能横断的なアプローチを検討する必要があります。

新しいビジネスの必須課題

2019年ニルソン レポート、米国のクレジット カード詐欺による損失額(十億ドル単位)

詐欺緩和対策のための投資を考える

オンライン詐欺を検出するツールにもっとお金をかけるだけで十分なのでしょうか?答えは簡単です。十分ではありません。企業は、オンライン詐欺を検出するツールに毎年、数十億ドルを費やしているにもかかわらず、詐欺による直接的な損失は増加し続けていることに気付いています。Juniper Researchは、オンライン詐欺の被害総額は2023年までに年間480億ドルを超えると予測しています。

現在の詐欺対策ツールは、詳細な設定が必要で、生成されるリスク スコアが曖昧であり、詐欺対策チームが独自のルールを開発する必要があり、正当なユーザーに多くの不満を生み、最終的には収益を損なう可能性があります。ますますダイナミックになる攻撃から永続的に保護するには、実際の顧客の不満を生むことなく、攻撃者に継続的に適応するセキュリティ ソリューションに投資する必要があります。

自動攻撃のトラフィックを阻止することで、詐欺を防ぐだけでなく、ビジネス全体のコストを削減できます。

多くの企業が、戦略的なビジネス成果を確保するために、オンライン詐欺防止ソリューションの導入に成功しています。次の事例をお読みになり、詐欺防止の取り組みを強化することで組織が劇的に変われる可能性をご検討ください。

グローバルな出会い系プラットフォーム、アカウント乗っ取りを阻止

自動攻撃のトラフィックを阻止することで、詐欺を防ぐだけでなく、ビジネス全体のコストを削減できます。グローバルな出会い系プラットフォームのITチームが妨害トラフィックを排除し、サイトのレイテンシを250ミリ秒から100ミリ秒に短縮するのにShapeがどのように役立ったかをご覧ください。

国際航空会社、運賃スクレイパーと戦う

従来のWebサイトの防御は、適応型の自動攻撃には不十分です。国際航空会社が、独自のフライト情報を盗み出そうとする巧妙なボットを追い払うのにShapeがどのように役立ったかをご覧ください。

御社のWAFを強化しませんか?

Shapeは詐欺行為の削減を専門としていますが、ボットおよび詐欺防止ソリューションの基本コンポーネントであるF5 Device ID+を使用して、他のセキュリティ ツールを強化できます。リアルタイムのデバイス識別子をWebアプリケーション ファイアウォール(WAF)または企業のアプリケーション アクセス ソリューションに統合することで、既知の不良デバイスを検出してブロックし、アプリケーションを潜在的な侵害から保護することができます。

一番の魅力は、無料でご利用いただける点です。

マルチクラウド環境で常にオンライン詐欺の一歩先を行く

F5ソリューションは、正当なユーザーに一切のフラストレーションを与えることなく、カスタマ エクスペリエンスを損ないブランドの評判を落とす攻撃を阻止することで、eコマースや、顧客ロイヤルティやブランド認知度などのデジタル イニシアチブを保護します。

重要な資産を巧妙なサイバー犯罪者から保護する包括的なマルチクラウド アプリケーション セキュリティと詐欺行為防止機能を使用することで、今日のダイナミックな攻撃からeコマース ビジネスを守ります。

ありがとうございます

リクエストを受け取りました。近日中にご連絡させていただきます。