リスク分析を使用して不正と戦い、コンプライアンスを維持する

Mark Crichton, 2020年11月2日
Using Risk Analytics to Fight Fraud and Maintain Compliance

金融詐欺との戦いは進行中の戦いです。 最近のレポートによると、2019年には、英国でのカード詐欺による損失の総額は7億600万ユーロに上り、リモート購入がこれらの損失の76%を占めています。 eコマースの成長を考えると、これは驚くべきことではありませんが、パンデミック以降、サイバー犯罪者は、デジタルプラットフォームを使用して金融取引を行う人々を利用するため、より活発になっています。

英国で封鎖が開始されて以来、ショッピング詐欺だけで1,660万ポンド以上が失われ、フィッシング関連のWebサイトの数は年初から350%急増しています。 これらのフィッシング攻撃と数え切れないほどの主要なデータ侵害が相まって、銀行口座のログインを含む150億を超える消費者の資格情報が公開され、現在ダークウェブが流通しており、犯罪者が銀行の顧客の名前で不正行為を行うことができます。

一方、金融およびデータ規制は、これまで以上にセキュリティに重点を置いています。 業界団体からの深刻な影響を回避するために、PSD2などの規制への準拠を確保することは銀行やFIにとって重要です。

銀行とFIにとっての課題は、全体的なカスタマーエクスペリエンスを損なうことなく、コンプライアンス要件と、増大し急速に変化する不正の脅威から顧客を保護する必要性とのバランスをどのように取るかです。

デジタル詐欺とアカウント乗っ取り攻撃の増加

世界中で封鎖が実施されたとき、消費者は社会的距離の義務を遵守するためにモバイルおよびデジタル形式の銀行を使用することを余儀なくされました。 犯罪者は常にお金がどこにあるかを追跡しようとしてきました。そのため、トランザクションがこれらのオンライン領域に移行するにつれて、デジタル形式の詐欺が急増しました。

同時に、詐欺師が恐怖やコミュニケーションの増加を利用して、消費者を詐欺に陥らせることもあります。 パンデミックが始まって以来、機密情報を盗むために消費者を標的にしたコロナウイルス関連のフィッシングキャンペーンや、マルウェアなどの悪意のあるファイルをダウンロードするように個人を騙すように設計された他のキャンペーンが数多く見られます。 たとえば、Kasperskyの調査によると、モバイルバンキングの使用が増加するにつれて、チャネルはモバイルバンキングのトロイの木馬の増加を経験しました。 フィッシングおよびマルウェア攻撃は、アカウント乗っ取り攻撃を含むあらゆる種類の詐欺を助長します。

非常に多くの個人データと資格情報がすでに公開されているため、消費者は常に、不正な目的で同意なしにデータが使用されるリスクにさらされています。 ただし、デジタルアクティビティとサイバー攻撃の増加と相まって、損害が発生する前にリアルタイムで不正を発見することに長けたセキュリティインフラストラクチャを採用する責任は銀行にあります。

銀行対消費者

ただし、責任は個人だけに限定することはできません。 銀行は、盗まれた資格情報を使用した攻撃から顧客のアカウントを保護するために、セキュリティに対して機敏で多層的なアプローチを採用しています。 銀行とFIは、ユーザーエクスペリエンスを損なうことなく、不正の試みをリアルタイムで検出してブロックするために、機械学習を利用したリスクベースの不正検出システムを導入する必要があります。

リスク分析使用されているデバイス、場所、トランザクション履歴など、さまざまなチャネルからの膨大な量のデータを分析します。 機械学習アルゴリズムは、銀行のセッションを常に監視し、時刻、セッションの長さ、支出パターンなどのデータポイントを評価できます。 このすべての情報を使用して、個人の通常の行動の全体像を構築することができます。 不正であると疑われる可能性のある異常な動作をリアルタイムで発見し、それに応じて追加のセキュリティ対策を実施できます。 たとえば、ユーザーが標準から逸脱し、新しい場所から1,000ポンドを送信した場合、トランザクションを完全にブロックするのではなく、フラストレーションを引き起こす可能性があります。顧客は、パスコードを補足する指紋を提供するように求められる場合があります。

リスク分析を使用する不正検出システムと機械学習フィッシング攻撃の初期の兆候を見つけることに長けています。 アルゴリズムは、HTTPリファラーがフィッシングページからのものである可能性を判断できます。フィッシングページには、専門家のルールを適用することで補足できます。 これらのルールは、発生しているフィッシング攻撃にシステムがどのように対応するかを決定します。

これらのセキュリティメカニズムは、より多くのデータが収集されるにつれて不正を検出する際の銀行の精度を向上させます。これらはすべて、ユーザーの銀行業務のエクスペリエンスに影響を与えることなく実行されます。 低リスクのトランザクションの場合、カスタマージャーニーに摩擦がほとんどまたはまったく追加されませんが、追加の必要なセキュリティ手順は、リスクがあるまたは異常であると見なされるトランザクションに対してのみ実行されます。

銀行とテクノロジーは詐欺との戦いにおいて重要な役割を果たしますが、消費者も警戒を怠らない必要があります。 銀行、小売業者、政府、およびその他の業界団体は、顧客が直面している可能性のある脅威と、積極的に防御を提供するために実行できる手順について顧客を教育する必要があります。 たとえば、消費者は、フィッシングの試みである可能性のある疑わしい電子メールを見つける方法、悪意のあるリンクを誤ってクリックした場合の対処方法、電話や電子メールで個人を特定できる情報を提供してはならない理由を理解する必要があります。

リスク分析とコンプライアンスの維持

リスク分析を実装すると、銀行とFIがトランザクション監視のPSD2要件に準拠するのにも役立ちます。 PSD2不正な支払いを阻止し、アカウントの乗っ取り、新しいアカウントの詐欺、モバイル詐欺などの脅威を防ぐために、トランザクション監視の使用を義務付けています。 金融機関はまた、監査人や規制当局に対して監視システムの有効性を実証できなければなりません。
リスク分析を通じて、モバイル、アプリケーション、およびトランザクションのデータがリアルタイムで分析され、オンラインおよびモバイルバンキングチャネルで既知および新たに発生している不正の種類が検出されます。 この分析により、トランザクションリスクの痛みが生じ、事前定義および/または顧客定義のセキュリティポリシーとルールに基づいて即時アクションをトリガーするインテリジェントなワークフローを推進できます。
既知の不正シナリオ、マルウェア感染の検出、トランザクション量など、リスクに基づく多くの要因を考慮に入れることで、トランザクションリスク分析により、銀行はコンプライアンスを達成し、顧客をより適切に保護し、運用コストを削減できます。
消費者がすでに成長しているデジタルバンキングのトレンドに慣れるにつれて、銀行とFIは、ユーザーエクスペリエンスに影響を与えることなく、ますます高度化する不正の形態を阻止し、規制コンプライアンスを維持するという課題に直面するでしょう。 最新のリスク分析テクノロジーは、金融業界の組織にこれらの課題に対応し、リモートのデジタル環境で成功する能力を提供します。

Risk Analytics for Fraud Prevention: Top Use Cases in Banking
White Paper

Risk Analytics for Fraud Prevention: Top Use Cases in Banking

To help banking executives better understand the value of a risk analytics system driven by machine learning, this white paper explains continuous fraud monitoring and dynamic risk assessment in the context of the top use cases in banking.

Download Now

セキュリティ製品管理のシニアディレクターであるMarkCrichtonが執筆したこの記事は、2020年10月22日に最初に掲載されました。 ITProPortal.com

Mark Crichton is the Senior Director of Security Product Management at OneSpan, with over 20 years’ experience in architecting, deploying, developing and strategic consulting within the realm of global IT security and payment security solutions.