2年前にClickable economy(クリック経済:インターネットによる経済活動)と表現した前回の調査から、現在はスワイプ経済ともいえるほど、バンキングサービスやEコマースの中心はモバイルチャネルに移行しつつある。サービス提供者は技術革新を取り入れ、使いやすさと便利さ、安全性を利用者に提供する努力を続けているが、そこに脆弱性が生じることを防ぐことはできていない。サイバー犯罪者はそれに乗じて、消費者行動やビジネスモデルの変化をうまく利用して新しいツールと詐欺手法を開発している。そのためのインフラやテクノロジーの開拓、犯罪を助長するサービスの開発などが活発になっている。
「2018年のサイバー犯罪の現状」では、今年、顕著な動きが見られると予想される領域を4つあげている。
1. 大規模な情報漏えいにより、アカウント乗っ取りが増加
大規模な情報漏えいとフィッシング攻撃により、数十億件ものユーザー名とパスワードをはじめとする個人情報が闇市場に大量流出している。このような個人情報をサイバー犯罪者は買い求め、アカウント乗っ取りに悪用する。これはユーザー名とパスワードを複数のアカウントで使いまわす利用者が多いという事実に基づいた戦法になる。
個人情報がまだ使える状態であるかを確かめるテストサービスという新ビジネスがますます盛んになることは間違いない。もちろん有効な個人情報は高値で取引されている。Sentry MBA(認証リプレイ攻撃)のような自動化ツールは、ユーザー名とパスワードの確認を高速で実行できる。
このようなツールは低価格もしくはタダで入手でき、FaaS(Fraud as a Service:不正取引サービス)でも提供される。アカウント乗っ取りの成功率は高くて5%だが、サイバー犯罪者にとって今後も十分な利益をもたらす。
2. サイバー犯罪は新しいプラットフォームとインフラに拡大
サイバー犯罪者は、効率良く“安全な”方法と技術を常に模索している。今後はソーシャルメディアとブロックチェーンとIoTがサイバー犯罪者の注目するところとなる。
ソーシャルメディアは、サイバー犯罪者向けのコミュニケーションチャネルとして急成長が見込まれている。人気のソーシャルメディアは無料かつ、グローバルで使われているためだ。RSAの直近の調査では、ソーシャルメディアでの不正行為は70%も増加しており、そのほとんどが誰もが閲覧できる設定を利用したものだった。かつてのようにダークウェブでのフォーラム運営の手間、ホスティングの費用、フォーラム参加希望者の確認プロセスはなくなった。サイバー犯罪者の間で最も人気の高いFacebookでは、不正に入手した本物の金融情報(個人情報や認証コードを含むクレジットカード番号など)、サイバー犯罪の手引書、マルウェア/ハッキング用ツールや換金/運び屋サービスに関する情報などが公然と共有されている。
サイバー犯罪者の間では、ブロックチェーンで活動用のWebサイトを構築することに関心が高まっている。ブロックチェーンベースのドメインを保持できれば、より堅牢な防備ができるためだ。確実に活動を持続するためにブロックチェーンに着目したのは、当然の流れといえる。
多くのユーザーがIoTデバイスをデフォルトのパスワードのまま使用しているという傾向もサイバー犯罪者は見逃さない。IoTデバイスをボットネットの一部としてDDoS攻撃やフィッシングサイトのホスティングに利用するなどの、攻撃インフラに拡張するためだ。
3. オムニチャネルの拡大、オープンAPIなど不正行為に悪用できうる新たな脆弱性が登場
消費者取引のモバイルチャネルへの移行は周知のとおりだが、オープンAPIエコノミーの出現やファスターペイメント(イギリスが2008年より実施。 24時間×365日リアルタイム送金が可能)により利用者の利便性はさらに大きく向上している。サイバー犯罪者もこのようなイノベーションに追従するように、不正行為の開拓にまい進している。
オープンAPIエコノミーにより、利用者自身の銀行口座情報が閉じたシステム内にあった状況が大きく変わり、銀行口座情報を他サービスで活用できるようになる。ファスターペイメントの広がりと共に、このような決済システムの高度化に適切なセキュリティ対策が行われていないと、不正行為にさらされる新たなリスクを生じる。
4. カード発行会社と加盟店による3D SECURE 2.0導入準備
クレジットカード取引における不正利用は高度化してきており、1時間あたりの損失は66万ドルにもなる。カード発行会社、販売業者ともに甚大な影響をもたらすため、3D Secure 2.0プロトコル(EMV 3D Secureとも呼ばれる)の導入が強力に推し進められている。このプロトコルは、リスクベース認証をサポートしている。このリスクベース認証は、不正行為の減少が実証済みであるため、プロトコルの導入を促進するとみられている。
上記の予測から、サービス事業者はすべてのデジタルチャネルで効果的なセキュリティ対策を行う必要に迫られていることがわかる。RSAは、不正行為を防ぐアプローチには、ふるまい分析の活用を進めて統合された脅威インテリジェンス機能を活用し、モバイル環境やクラウド環境にも展開できるソリューションが必要と考える。不正行為による攻撃をすべて阻止することはできないが、攻撃に対する検出方法と対応方法を変えることで、損失や損害を最小限に抑えられるとしている。
