不正分析とは何ですか?
不正分析とは、ビッグデータ分析技術を使用してオンライン金融詐欺を防止することです。 金融機関が将来の不正行為を予測し、不正行為をリアルタイムで迅速に検知・軽減するのに役立ちます。
オンライン・バンキングを利用したり、オンラインで財務を管理したりする人は年々増加しています。 2020年には、COVID19による世界的なロックダウンにより、さらに多くの顧客が金融活動の少なくとも一部にオンライン・バンキングを利用するようになるでしょう。すでに年々増加しているオンライン詐欺もこれに追随しています。特に人気の高い金融詐欺の一形態である口座乗っ取り(ATO)は、2019年第2四半期から2020年第2四半期にかけて280%以上も急増しました。 金融機関は、顧客の口座を保護するために、これまで以上に包括的な不正管理対策を講じる必要があります。
金融詐欺の課題
銀行やその他の金融機関は、顧客に対して、詐欺や完全な盗難から顧客のデータや財務を保護する責任を負っています。これは、少なくとも部分的には、顧客が複数のチャネルを通じて口座にアクセスできるようになったため、複雑な課題となっています。モバイル・バンキングのアプリ、オンライン・バンキング・ポータル、コールセンター、あるいは直接銀行を訪れて、銀行取引を行うことができます。
窓口担当者は、それなりの信頼性を持って顧客の本人確認を行うことができます。しかし、オンラインで銀行口座にログインしている人物が、盗んだ認証情報でログインしている詐欺師ではなく、本人であることをどうやって確認するのでしょうか? 詐欺師が利用できる盗まれた認証情報の数は驚異的です。ダークウェブで販売されている盗難認証情報は150億件以上あります。サイバー犯罪者は、消費者の認証情報の平均15.43ドルから、組織の重要システムの認証情報の平均3,139ドル以上で購入することができます。
金融犯罪のユースケース
- アカウントの乗っ取り: ATO とは、詐欺師が盗んだ認証情報を使用して、銀行や加盟店などの既存のオンラインアカウントにアクセスすることです。
- Simスワッピング:これはATOの一種で、詐欺師が、データ侵害から盗んだり、ソーシャルメディアなどの他の情報源から得た被害者の個人情報を使って、被害者の電話番号を詐欺師の携帯電話にポートするよう携帯電話会社を説得するものです。
- フィッシング:フィッシング攻撃とは、詐欺師が電子メールやテキストで正規のウェブサイトになりすまし、最終的に被害者に個人情報の漏えいや送金をさせようとするものです。
- マルウェア:詐欺師は、フィッシングなどの様々な方法を用いて、被害者を騙して悪意のあるソフトウェアをデバイスにロードさせ、キー入力を記録させたり、データを破損させたり、身代金を支払わない限りデバイスを使用不能にさせたりします。
- カード・ノット・プレゼント(CNP):CNP 詐欺では、詐 欺者が盗んだクレジットカードのアカウントを使用し、E コマースサイトでのオンライン購入など、物理的なカードが不要な取引を行います。他の詐欺と同様、クレジットカード詐欺も増加傾向にあります。
- 中間者攻撃:MitM攻撃は、情報を盗んだりオンラインセッションを乗っ取ったりする目的で、詐欺師がオンラインサービスと顧客の間の通信を傍受することで発生します。
不正分析は金融不正リスク管理の鍵
悪いニュースは、オンライン詐欺は常に進化しているということです。銀行が対策を講じると、新たな脅威が出現します。従来の静的なルールベースの不正防止システムでは対応しきれません。良いニュースは、金融詐欺を予測・検知し、新たな脅威に対応するために利用できるデータが金融機関に豊富に存在することです。
ログイン時にユーザー名とパスワードを収集するだけでは、もはや詐欺行為を防ぐには十分ではありません。誰かがアカウントにアクセスする、またはアクセスしようとするとき、その人が正当な顧客かどうか、要求された取引が正当かどうかを判断するために使用できる他のデータがあります。これには次のようなデータが含まれます:
- どのデバイスを使用しているか?
- このデバイスは以前に銀行に登録されたことがありますか?
- 指紋で本人確認ができるか?
- 要求された取引は過去のパターンに合っているか?
認証という意味では、このデータは4つのカテゴリーに分けることができます:
- 知識: パスワード、社会保障番号など、ユーザが知っているもの。
- 所有:ユーザが持っているもの、例えば携帯電話など。
- 内在:指紋や掌紋など、ユーザーが存在するもの。
- 行動:ユーザーが行うこと、または行っていること。
これらすべての質問に答えるには、ビッグデータへのアクセスと分析が必要です。詐欺アナリストやデータサイエンティストがこのようなリクエストを手作業で処理することは不可能です。銀行が絶対にしたくないことの一つは、顧客セッションに不当な摩擦を加えることです。
従来、銀行にはリクエストを審査し、ゴー/ノーの判断を下す一連のルールがありました。このようなルールベースの不正防止システムは、ルールセットを拡張し続け、非常に複雑になっていますが、隠れた脅威や未知の脅威には適応していません。その結果、正当なトランザクションをブロックしたり、不正なトランザクションを見逃したりする誤検知が多発するのが一般的です。 一方、機械学習(ML)は、膨大な量の異種データを収集し、そのデータを規模や状況に応じて分析し、リアルタイムでリスクスコアを割り当てる能力を提供します。これにより、リスクベースの不正分析ソリューションは、ステップアップ認証を通じて、的確なセキュリティレベルを適切なタイミングで適用することができます。
不正検知・防止のための機械学習モデル
不正分析では、機械学習技術を金融データに適用します。機械学習は人工知能(AI)のサブセットです。AIが人間のような思考や意思決定プロセスをコンピュータに実装するものであるのに対し、機械学習は分析対象のデータ内の複雑な関係を抽出するために数学的アルゴリズム技術を使用します。不正分析では、機械学習を使用して取引に関するすべての関連データを調べ、取引にリスクスコアを割り当てます。リスクスコアに基づいて、取引を許可するか、取引をブロックするか、取引を許可する前にステップアップ認証を求めるかを推奨します。これはすべて、人の介在の有無にかかわらずリアルタイムで実行できるため、金融機関は顧客セッションに過度の摩擦を引き起こすことなく、不正防止を強化することができます。ログインからログアウトまで、すべてのトランザクションについて潜在的な不正リスクを検査することができます。
機械学習システムには教師あり、教師なしがあります。教師なし機械学習モデルは、ラベル付けされていないデータを分析して、通常と異常の間の異常を識別します。 モデルは、データ内の隠れた関係を検出し、データの基本的な構造と次元を記述する関数または命令セットを推論します。この関数または命令セットは、新しい未見のデータに適用して学習プロセスを継続することができます。
それは良いことです。しかし、教師ありモデルの方がより優れています。教師あり機械学習では、ラベル付けされたデータ(不正データやその他のデータ)を使ってモデルを学習し、不正の可能性を予測します。 教師ありモデルを訓練するには、不正な事象と正当な事象の両方を提示し、それを実行して、さらなる事例に適用する命令セットまたはアルゴリズムを開発します。訓練されたモデルは、未知のパターンと既知のパターンを識別し、要求されたトランザクションの正確なリスクスコアを生成することができます。
金融詐欺に対抗するビッグデータ分析技術
データサイエンスはソリューションの一部です。金融機関は膨大な量の行動データ、デバイスデータ、取引データを収集しています。不正検知システムおよび/または不正調査チームによるこのデータの分析は、金融詐欺の防止と検知に利用できます。しかし、分析はデータセットのデータが優れている場合にのみ有効です。優れたデータがあれば、機械学習ベースの不正分析システムが金融不正に対抗するために使用できるビッグデータ分析技術が数多くあります。
- 予測分析では、不正の可能性や傾向を理解するために、パターンを見て、これまで知られていなかった将来の出来事を予測します。
- パターン認識と異常検知は、予想されるパターンに合致しない事象を特定します。機械学習アルゴリズムはデータから学習し、将来の事象を予測します。
- ビジュアル分析ツールには、疑わしい取引がないかを自動的に集計・監視するデジタルチャネルの統合、不正アナリストが不正事例をレビューし、主要な不正指標を分析するためのウェブベースのケース管理、不正の可能性がある取引の発生源を迅速に特定するための不正可視化ツールなどがあります。
- 金融詐欺事件の原因と結果を検証するフォレンジック分析では、詐欺事件に関連するユーザー、デバイス、場所、IPアドレス、関係性のデータを提供するビジュアル分析データが役立ちます。データと関係を分析することで、潜在的な詐欺行為を特定し、詐欺師同士の協力関係を明らかにすることができます。
不正分析ソリューションの導入
ティア2およびティア3の金融機関は、通常、大規模な不正チームや不正防止に割く豊富なリソースを有していません。しかし、これらの金融機関でも、グローバルに事業を展開する金融機関と同じような不正のユースケースや不正シナリオが発生するため、包括的な不正防止が必要となります。そのため、不正防止ソリューションを選択する際には、賢明な選択が不可欠です。考慮すべき重要な機能の中には、希望するベンダーが銀行業界における不正防止に深い経験を持っていることを確認することが挙げられます。セキュリティとコントロール、スケーラビリティ、インフラ能力を評価します。最新の高度なアナリティクスを使用していること。さらに、リスク分析に基づく不正防止ソリューションは、すべての取引シナリオをカバーし、過去のデータ移行をサポートする必要があります。
ITチームの規模が小さく、過重労働になりがちなティア2やティア3の金融機関のために、OneSpanのようなソリューションプロバイダーはプロフェッショナルサービスチームを擁しており、お客様の組織に適した包括的な不正分析ソリューションの設計、実装、管理をお手伝いします。
不正分析による金融詐欺の防止について最後に一言
金融詐欺、保険詐欺、あるいは医療業界の詐欺など、詐欺は今後も増え続けるでしょう。これは、顧客関係や顧客ロイヤルティを大きく混乱させる可能性があります。金融機関にとっての課題は、顧客体験に無用な摩擦をもたらすことなく、攻撃を軽減する包括的な不正防止策を導入することです。機械学習技術に基づく不正分析ソリューションは、この2つの目標を達成する上で効果的です。