アカウント乗っ取り詐欺:その実態と防止策

アカウント乗っ取り(ATO)詐欺とは?

アカウント乗っ取り(ATO)詐欺とは、攻撃者が盗んだ認証情報を使って本物のユーザーアカウントを使って、銀行口座の乗っ取り、配送先の変更、マネーロンダリング、ポイント獲得、購読情報の転売など、さまざまな犯罪の発射台として利用するIDベースの攻撃の事です。

多くのオンライン詐欺師がATO攻撃からキャリアをスタートさせるのは、参入障壁の低さ、つまり、詐欺師がほとんどコストをかけずに大規模な攻撃を実行できるツールが複数あるためです。長年にわたる大規模なデータ流出により、ユーザー名とパスワードのコンボリストを簡単に入手できるようになっています。ATO攻撃を大規模に実行するためのツールは容易に入手でき、その実行方法に関するYouTubeのチュートリアルもあるほどです。大規模な攻撃を仕掛けるためにさらに計算能力が必要な場合も、簡単に購入することができます。また、コンボ・リストをロードして大規模な攻撃を簡単に実行するためのソフトウェアも入手できます。これらの多くは、専用のカスタマーサポートを備えたプレミアム層で提供されています。

さらに、アカウント乗っ取り詐欺は、盗まれた認証情報を特定し、その有効な認証情報を使ってアカウントにアクセスするという、様々な業界で同じプロセスを実行できるため、人気があるのだそうです

すべての業種でATOの不正は著しく増加しており、その勢いは衰えていないようです。アーコス・グローバルネットワークで検知された攻撃の大半はログイン時のものでした。

このページでは、最新の詐欺と不正使用に関するデータをもとに、アカウント乗っ取り詐欺の増加傾向、現代の詐欺師によるATO攻撃の実行方法、これらの攻撃を検知・防止するためのソリューションについて詳しく解説していきます。

account takeover fraud

アカウント乗っ取り詐欺の驚異的な増加

アカウント乗っ取り攻撃は増える一方です。クレデンシャルスタッフィング攻撃は、2020年第4四半期には同年第3四半期と比較して2倍以上に増加し、2020年第1四半期からは約90%増加しました。

これは、高品質で安価なユーザー名とパスワードの組み合わせや、その他多くの個人を特定できる情報(PII)の入手が可能になったためと思われます。例えば、人気サイトHave I Been Pwnedでは、460の異なるウェブサイトから100億を超えるアカウントが侵害された、と報告されています。さらに、ある試算によると、平均的なアメリカ人は23のオンラインアカウントを持っているそうです。つまり、ATOの攻撃対象には事欠かないということです。このため、多くの詐欺師は、たとえ技術的な知識がなくても、簡単にボット攻撃を大規模に展開することができます。

account takeover fraud

アカウント乗っ取りを成功させ、詐欺師が利益を得る方法について

また、ATO攻撃は、侵害されたアカウントによって幅広い下流攻撃が可能になるため、詐欺師の間でも人気があります。ATO攻撃の最も一般的な用途は、アカウント自体から支払い証明書やその他の貴重な情報を盗むことです。

さらに、漏洩したアカウントは、マネーロンダリングなどの犯罪行為に利用される可能性もあります。乗っ取られたアカウントから得られる個人情報を使って、詐欺師はローンやクレジットカードを申し込むことができます。さらに、乗っ取られたアカウントは、スパムやフィッシング攻撃に利用される可能性があり、「本物」のアカウントからの方が成功率が高い場合があります。

漏洩した口座から資金や資産を引き出すことは、ATO攻撃の最初のステップに過ぎません。詐欺師は、これらのアカウントを悪用して、不正な支払いを行うこともできます。また、口座内のポイントを換金したり、不正に入手した口座をマネーロンダリングに利用することも可能です。

しかし、アカウント乗っ取りの動機は、金銭的な悪用にとどまりません。詐欺師は、支配下にある口座を麻薬や人身売買などの犯罪に悪用し、社会に多大な影響を与える可能性があります。

ATO攻撃は、非常に大きなコストがかかります。アーコスラボが実施したIT企業の経営者100人のを対象とした調査によると、過半数の企業が、ATO攻撃のコストは1件あたり50ドルから200ドル以上であると回答しています。数千ドルという単位で見ると、これは企業にとって大きな金銭的損失となり得ます。

account takeover fraud

業界横断的な詐欺師の攻撃方法

金融サービス/フィンテック:これらの口座は、直接資金を引き出せるだけでなく、社会保障番号や住所などの機密情報も含まれているため、詐欺師にとっては通常、最も価値のある口座として狙われることがあります。金融口座は非常に貴重であるため、通常、高度に保護されており、二要素認証などの追加セキュリティ・レイヤーを備えています。詐欺師は、SIMスワップなどの手口でこれを回避しています(これについては後で詳しく説明します)。また、フィッシング・キャンペーンも利用します。通常、銀行からのメールを装い、受信者に悪質なリンクをクリックし、アカウントにログインして本人確認を行うよう求めます。このログインページは実は偽物で、これで攻撃者がユーザーの情報を手に入れることができます。

ゲーム業界:ゲーム用のアカウントは、一般的に金融関連のアカウントよりもはるかに価値が低いのですが、保護されていないため、ハッキングも簡単です。攻撃者は、これらのアカウントに侵入するために、大規模なクレデンシャルスタッフィング攻撃を仕掛けます。攻撃者はアカウントに侵入してデジタル製品やアイテムを盗み、グレーマーケット・フォーラムで他のゲーマーに転売します(これはリアルマネー・トレーディングとして知られています)。また、侵入されたアカウントを使用して、チートやハッキングを行い、ゲーム内で利益を得ることもあります。通常、ゲーム・プラットフォームがこれに気付くと、問題のあるアカウントを禁止しますが、詐欺師は新たに侵入したアカウントでこれを何度も繰り返すことができます。

旅行:旅行サイトでは、詐欺師は一般的にポイントを狙っています。アカウントに保存された支払い方法があるかどうかを確認し、それを利用することもできますが、ほとんどの場合、ホテル、航空券、レンタカー、クルーズを購入するためにポイントを使用することを目的としています。個人的に利用するために予約することもありますが、多くの場合、サードパーティのプラットフォームで転売するために予約します。

ソーシャルメディア:ソーシャルメディアのアカウントには直接的な価値がないため、この分野は興味深いです。ソーシャルメディアのアカウントには、財務情報やその他の種類の個人情報は含まれていません。詐欺師は、このようなアカウントを別の理由で使用します。たとえば、プラットフォーム上の実際のユーザーにスパムやフィッシング・メッセージを送信したり、偽情報を流したり、自分が関連している他のアカウントに人為的に「いいね!」を付けたりします。また、文字数が少ないアカウントやユニークな名前のアカウントなど、希少価値の高いアカウントを転売するケースもあります。

ストリーミングサービス:ストリーミング配信のアカウントでは巨額の利益を得ることはできないため、ここでの詐欺師の目的は、ストリーミングサービスに対して大規模にクレデンシャルスタッフィング攻撃を仕掛け、できるだけ多くのアカウントにアクセスし、他の人にアクセスを転売することです。つまり、月額15ドルを支払っている人のアカウントがハッキングされた場合、詐欺師はそのアカウントへのアクセス権を何人もの人に、それぞれ数ドルの一回限りの手数料で販売するかもしれないのです。

ATO(アカウント・テイクオーバー)詐欺の手口とは?

ターゲットと動機に応じて、詐欺師は最も低コストで摩擦の少ない攻撃手法を選択します。例えば、eコマースや旅行サイトへの攻撃では、盗んだ認証情報のリストで十分でしょう。しかし、電子メールアドレスをユーザー名として使用しない銀行のウェブサイトでは、ソーシャルエンジニアリングの方がより適切な場合があります。さらに、システム管理者のような権力者のアカウントを乗っ取るために、辞書攻撃が行われることもあります。

成功するATO攻撃は、常に3つの主要なステップで構成されています。これらの攻撃は、稀に同じ人物やグループによって行われることもあり、このプロセスには、コミュニティ全体が関与しています。

ステップ1:認証情報の採取

クレデンシャルの窃盗と採取は、ATO攻撃のプロセスの中で最も時間と技術的なスキルが必要とされる部分です。認証情報はフィッシング、マルウェア、ソーシャルエンジニアリング攻撃で盗まれることが多いですが、データベースセキュリティの様々な脆弱性を悪用して情報を引き出すこともあります。そして、盗まれた情報は、公共またはダークインターネット上で販売されます。これはお金になるビジネスです。なぜなら、1つのリストが、データの価値が失われる前に、数年にわたり何度も売られる可能性があるからです。

ステップ2:アカウントの検証

次に、アカウントをチェックします。大規模なアカウント・リストをチェックするための最も効果的でコスト効率の良い方法は、ボットネットを使用することです。ボットネットはインターネット上で簡単に見つけることができ、中にはチュートリアルやカスタマーサポートが付属しているボットサービスもあります。ボットは、有効なユーザー名とパスワードの組み合わせを見つけるまで、提供された認証情報を使用して、標的のウェブサイトへのログインを試みます。

この段階の攻撃を大規模に行うのに、熟練したハッカーである必要はありません。盗んだ認証情報のリストをツールに入力し、プロキシを設定し、ターゲットを定義するだけで、準備は完了です。さらに熟練した攻撃者であれば、独自のボットネットを構築して、ボットや不正検知のソリューションをより効果的に扱うことも可能です。

この攻撃は、特定のウェブサイトに対して検証された認証情報リストを抽出するのに役立ち、その後ダークウェブで転売されることになります。これらの精製されたリストの価値は、そこから得られる投資対効果の高さによって変動します。例えば、銀行サイトや、非常に優れたロイヤルカスタマーリワードプログラムで知られるeコマースサイトの検証済みリストは、基本的なサービスを提供するサイトのリストよりはるかに高い価値を持つことになります。

ここでは、攻撃者がどのようにソフトウェアの一部を使用してクレデンシャルを検証するかの例を示します。

ステップ3:アカウント乗っ取りとは

攻撃の最終段階がオンライン詐欺師の出番で、このリストを買い取るのです。個々のアカウントに価値があるという保証はないため、リストは通常、束で売られます。例えば、休眠中のアカウント(アカウント所有者がサイトを積極的に利用していない場合)からは、所有者の個人情報しか得られません。しかし、他のアカウントは、攻撃者にとって宝の山である場合があります。

詐欺師は、有効な認証情報を使って自動化された方法でログインフォームに大量に入力したり、低コストのスウェットショップのリソースを活用してアンチ自動化防御を回避する方法でATO攻撃を行ったり、非常に価値の高いターゲットに対しては自らATO攻撃を行ったりするでしょう。

クレデンシャルスタッフィングによるATOの自動化

クレデンシャルスタッフィングとは、アカウント乗っ取り攻撃の一部で、ボットを配備し、一致するユーザー名とパスワードの組み合わせを見つけるまで、常に異なるユーザー名とパスワードの組み合わせを大規模に試行するものです。データ漏洩により個人情報が流出したため、詐欺師はこの情報をすぐに購入できるようになり、クレデンシャルスタッフィングがATO攻撃の実行に重要な役割を果たすようになりました。

クレデンシャル・スタッフィングは、不正な攻撃を成功させるために不可欠な要素です。詐欺師は、自動化されたスクリプトを使用して、認証されたクレデンシャルをログインフォームに大量に入力するなどして、クレデンシャルスタッフィングを実行することがよくあります。しかし、自動化の兆候を検出する防御策を回避するために、人間の手によってこれらの攻撃を行ったり、非常に価値の高いアカウントに対して自ら攻撃を行ったりすることもあります。

クレデンシャルスタッフィングによってアカウントが侵害されると、詐欺師は、単にアカウントから金銭や情報を盗むだけでなく、フィッシングやスパムメールの送信などの詐欺に再利用したり、盗んだお金を洗浄したり、有効な認証情報をそのままリストとして転売するなど、さまざまなオプションの利用が可能になります。

アカウント乗っ取り検知・防止ソリューション

アカウント乗っ取りを検知し、阻止することは困難です。詐欺師は、企業が展開する防御メカニズムを研究し、それを回避する革新的な方法を考案しています。

  • リスクスコア:
    デジタルビジネスでは、リスクスコアの割り当てやデジタルIDの検証ルールの作成を、ほぼ完全にデータドリブンなソリューションに依存しています。しかし、大量の個人データが売買される中、デジタルIDは大規模に侵害されており、不正情報のデータフィードにはかなりのレベルの曖昧さが残されています。限界を克服するために、企業は複数のソリューションと脅威スコアを導入しなければならなくなっています。一方、、その結果、複雑な技術スタックとアラートの過負荷が発生し、対策が困難になっているのです。
  • 多要素認証:
    多要素認証(MFA)の目的は、詐欺師にとって障壁となるものを作り出すことです。しかし、その崇高な目的にもかかわらず、帯域外の認証は、善良なユーザーにとって不必要な摩擦をもたらす結果となっています。さらに、詐欺師はSMSメッセージを傍受する方法を編み出しており、トークン単位で支払うソリューションは非常に高価になります。
  • CAPTCHA:
    基本的なサービスとして広く。無料で提供されているCAPTCHAは、人間と機械を区別するために設計されています。しかし、自動ソルバーが急増する中、従来のCAPTCHAはボットに簡単にバイパスされてしまうため、規模が大きくなっても余剰に近い状態です。また、ユーザーエクスペリエンスも劣悪で、人手での詐欺攻撃やハイブリッド詐欺攻撃にも対応できません。
  • 手作業による審査:
    すべてのユーザーを手作業でレビューするのは大変で、法外な労力を必要とするだけでなく、プロセスが遅くなり、人間の偏見が入り込むリスクも高まります。

account takeover fraud

アーコスラボによるアカウント乗っ取り詐欺の検出と防止方法

企業は、不正防止のアプローチを見直し、進化する不正行為から長期的に保護しながら、消費者の旅を加速させる戦略を採用する必要があります。

アーコスラボ不正検知抑止ソリューションプラットフォームは、データドリブン型のリアルタイム不正インテリジェンスを使用し、リスクの高いトラフィックの二次スクリーニングと組み合わせて、企業があいまいさに確実に対処できるようにするものです。リアルタイムのリスク評価により、トラフィックはその意図に基づいてさらに分類され、追加の認証が必要かどうかがシステムに通知されます。

アーコスラボのアプローチは、トラフィックを完全にブロックしてユーザー体験に悪影響を与えるのではなく、純粋にリスクの高いトラフィックに対してのみターゲットフリクションを使用します。大半の正規ユーザーは問題なく通過できますが、問題が発生したユーザーは、ユーザー体験を低下させることなく、アカウントを保護するための措置が取られていることを知ることができます。

アーコスラボのクイズ認証は、自動的および人為的なアカウント乗っ取りを阻止する、コンテキストベースのビジュアルチャレンジです。これらのカスタムビジュアルチャレンジは、特にマシンビジョンソフトウェアを妨害するように設計されており、ボットや自動化ソルバーを失敗させる原因となります。さらに、徐々に複雑になっていく課題を使用することで、人間の詐欺師は疲弊し、リソースを消耗し、攻撃を断念せざるを得なくなります。

FAQ

アカウント乗っ取り(ATO)詐欺とは、詐欺師が盗んだ認証情報を使って正規ユーザーのアカウントをコントロールし、銀行口座の乗っ取り、配送先の変更、マネーロンダリング、ポイント獲得、購読情報の転売など、さまざまな犯罪の踏み台にするIDベースの攻撃のことです。

アカウント乗っ取りとは、主にクレデンシャルを盗むことで、詐欺師が盗んだ有効なユーザー名とパスワードの組み合わせを使用して、不正な取引のために本物のユーザーアカウントを乗っ取ることを可能にするものです。このようなアカウントには、銀行、クレジットカード、電子メール、その他のサービスプロバイダのアカウントが含まれます。

アカウント乗っ取り詐欺は、ID窃盗の一種で、本物のユーザーアカウントに不正にアクセスし、さまざまな犯罪を行うことを特徴としています。

アカウント詐欺とは、サイバー犯罪者が有効なログイン情報を入手し、それを使ってユーザーのアカウントに侵入し、資金や個人情報を盗み出すというものです。デジタルアカウント間でログイン認証情報を再利用することで、詐欺師は複数のアカウントを容易に侵害することができます。

アカウント乗っ取りは、「認証情報の採取」「アカウントの検証」「アカウントの乗っ取り」の3つのステップで行われます。この攻撃は、サイバー犯罪者が情報漏えい事件からユーザー名とパスワード、またはメールアドレスとパスワードの組み合わせのリストにアクセスするところから始まります。そして、自動化された認証情報を使って、盗まれた認証情報をチェックし、有効な組み合わせを導き出します。詐欺師は、これらの有効なリストを第三者に販売することで収益化したり、アカウント乗っ取り攻撃の原動力として使用し、下流の多くの詐欺行為を助長します。

アカウント乗っ取り攻撃に対抗するため、企業はより厳格な管理を実施し、疑わしいアカウントを禁止し、トラフィックを疑わしいものとして高い割合で分類することがよくあります。しかし、このような対策は、正規ユーザーのデジタル体験を阻害し、誤検知につながることも少なくありません。

アーコスラボは、アカウント乗っ取り攻撃に対して、攻撃者を入口で止めるという最も現実的な方法を取っています。私たちの不正行為に対するゼロトレランスのアプローチは、ターゲットとなる摩擦を利用して、正規ユーザーがシームレスなユーザー体験を継続できるようにする一方、悪質な行為者は正確に特定し、クイズ認証で対処します。各ユーザーのリスクアセスメントに基づき、実施すべき課題が提示されます。これらの課題は、悪意のあるユーザーを消耗させ、不正行為のビジネスモデルを破綻させるために、継続的に複雑さを増していき、企業に長期的な保護を提供します。