不正防止とは
不正防止とは、不正な取引やバンキング行為を検知し、これらの行為が顧客や金融機関(FI)に財務的・風評的な損害を与えることを防止するための戦略を実施することです。オンライン・バンキングやモバイル・バンキングのチャネルが普及し、金融機関のデジタル化が進むにつれ、強力な不正防止戦略の重要性は増すばかりです。
不正防止とサイバー犯罪は関連しており、常に変化しています。不正防止の専門家が新しい認証や不正検知のソリューションを開発する一方で、詐欺師は互いにネットワークを構築し、収益化し、ダークウェブ上で情報を交換しています。今日の詐欺師は、洗練された戦略とマルウェアを駆使して詐欺活動を成功させています。詐欺防止技術は大きな進歩を遂げ、現在も進歩を続けていますが、詐欺の手口を認識し、詐欺を防止する方法を理解することが重要です。
不正防止と不正検知ソリューションの比較
金融機関は顧客を保護するため、不正行為の検知と防止に資金を投じ続けています。これらはサイバーセキュリティにおける関連概念ですが、重要な点で異なります:
不正防止
- 不正防止は、不正行為が行われる前に行われます。
- 不正防止の目的は、将来の不正リスクを低減することです。
不正の検出
- 不正の検出は、不正の試行中に行われます。
- 不正検知の目的は、不正行為を軽減することです。
- 洗練された不正検知ソリューションは誤検知を減らし、ユーザーエクスペリエンスを向上させ、不正チームの生産性を高めます。
不正防止と検知の仕組み機械学習
現在、不正行為の検知と防止において新たなトレンドとなっているのが、機械学習です。機械学習とは、人工知能を利用して、特別にプログラムされることなくシステムを改善することです。不正防止の文脈では、機械学習には教師なし機械学習と教師あり機械学習の2種類があります。
教師なし機械学習は異常検知を使用し、取引について何が通常で何が異常かを判断します。しかし、教師あり機械学習には、不正分析チームにとってさらに大きな利点があります。教師あり機械学習では、不正に関する過去の情報を使ってモデルを学習します。そのため、リアルタイムで不正スコアを割り当てることで、通常の取引か通常とは異なる取引かを判断することができます。機械学習は自動化の観点からも活用できます。不正の専門家を常時配置し、すべての事象を監視することは不可能です。さらに、機械学習は可用性バイアスを取り除くだけでなく、肯定バイアスを取り除く可能性もあります。機械学習はこのような人間的な課題を取り除き、不正チームが自動化された方法でリアルタイムにイベントに関する意思決定を行うことを可能にします。
機械学習は、金融機関がトランザクションに適用すべき認証の種類やその他の内部統制など、他の種類のワークフローについても判断を下すことができます。必要な認証の強度がリスクに関連しているかどうかを判断することができます。金融機関は、リスクが低い場合、この時点でユーザに認証を要求する必要はないと判断することができます。金融機関が継続的なモニタリングを使用している場合、リスクが変化すれば、より強力な認証バイオメトリクスを提供することができます。このプロセスを通じて、機械学習は金融機関が認証の種類をリスクのレベルにも適応させることを可能にします。
一般的な詐欺スキームと詐欺行為
データ漏洩は、詐欺師が企業ネットワークに侵入し、データベースから情報をコピーすることで発生します。多くの場合、詐欺師は顧客記録、クレジットカード情報、その他の個人を特定できる情報を探しています。この情報を入手すると、ダーク・ウェブで販売されます。結果は同じでも、詐欺師が攻撃を実行する手段はさまざまです。さらに、攻撃者は常にアプローチを変えています。以下に、現在も発生している最も一般的なタイプの詐欺行為をいくつか紹介します。
- サービス拒否
サービス拒否(DoS)攻撃は、ウェブサイトのコンピューティングリソースを圧倒してクラッシュさせようとするものです。何百台、何千台ものゾンビコンピュータを駆使することで、詐欺師はボットネットに命じて、例えば、お問い合わせフォームを何千回も繰り返し入力させ、ウェブサイトが殺到するリクエストを処理しきれなくなるまで停止させることができます。 - マルウェア
マルウェアとは、「悪意のあるソフトウェア」の略で、ウイルス、ランサムウェア、スパイウェアなど、さまざまな有害ソフトウェアを指す広義の言葉です。1970年代にCreeperウイルスが発見されて以来、個人や組織にとって脅威となっています。 - フィッシング
フィッシングは、組織の人々を利用して貴重な情報を引き出そうとします。フィッシングメッセージは、電子メール、SMS メッセージ、電話、またはその他の通信形態で、ユーザーを騙して情報を開示させたり、デバイスにマルウェアをダウンロードさせようとします。 - ランサムウェア
ランサムウェアは、感染したデバイス上のローカルファイルを暗号化するマルウェアの一種です。再びファイルにアクセスするための暗号化キーを入手するために、詐欺師は支払いを要求します。事実上、詐欺師はお客様のデータの身代金を要求します。さらに悪いことに、身代金を支払っても、詐欺師が暗号化キーを提供するという保証はありません。詐欺師が支払いを受けるだけで、一切の連絡を絶つことも珍しくありません。
銀行利用者がリスクを軽減し、詐欺を防止する方法
不正検知システムだけでなく、銀行口座をお持ちのお客様は、いくつかのベストプラクティスに従うことで、不正行為のリスクを軽減することができます。以下に簡単なリストをまとめました。これらのベストプラクティスを実践することで、お客様の組織における詐欺のリスクを軽減することができます。
安全な支払い
オンライン・バンキングが普及しつつあるとはいえ、オンライン上でお金を使ったり移動したりする際には、慎重を期すことが重要です。個人がオンラインでどのようにお金を使うかによって、詐欺リスクのレベルは異なります。セキュリティで保護されていないウェブサイトは、詐欺師がサイトに侵入し、支払い情報にアクセスする可能性があります。このような理由から、オンラインで製品やサービスを購入する際は、慎重を期すことが重要です。Paypalのような有名で確立された決済ネットワークにこだわりましょう。
個人情報の保護
個人情報には価値があります。たとえ個人情報を要求してきた人物が信頼できる組織の代表者であると主張したとしても、顧客が安易に個人情報を開示しないようにしましょう。例えば、攻撃者はユーザーの個人情報を使って口座乗っ取り詐欺を行い、その口座を使って信用枠を開いたり、知らない口座に富を送金したりすることができます。
顧客の個人情報を取得するために、攻撃者はフィッシング技術を使用することがあります。フィッシングやソーシャル・エンジニアリングは、一般人の信頼や善意を利用しようとする詐欺の一種です。フィッシングとは、企業の代表者を装ったハッカーからの電話、テキスト、電子メールのことです。銀行からの連絡が正当なものかどうか疑わしい場合は、顧客に銀行に直接連絡して問題を確認するよう促してください。また、フィッシングメールの兆候として、スペルミスのある単語、不明な電子メールアドレス、その他の奇妙なものがあります。
信用情報を定期的にチェック
年間を通して信用情報をチェックするよう、顧客に勧めてください。様々なアプリケーションや銀行サービスを利用することで、実際に信用調査を行わなくてもクレジットスコアを確認することができます。これらのツールは、クレジット・スコアに予期せぬ影響を与える可能性のある、不正購入やクレジット名義の盗用を特定するのに役立ちます。
クレジットカードを紛失したり、セキュリティ侵害に遭ったりした場合は、Experion、Equifax、TransUnionの3大クレジット機関のいずれかにクレジット・アラートを依頼することができます。米国連邦取引委員会(FTC)による詐欺警告の詳細については、こちらをご覧ください。
最後に、自分自身のアカウントを保護する最も強力な方法は、上記の信用機関にクレジット・フリーズを依頼することです。これによって、口座の凍結が解除されるまで、詐欺師を含むいかなる人物もクレジットラインを開設することができなくなります。
オンライン検索の実施
オンラインショッピングは詐欺の危険と隣り合わせです。オンライン企業と取引をする前に、ユーザーはYelpやGoogleのような最も人気のあるレビューサイトでオンラインレビューを簡単に検索する必要があります。問題の企業はこれらのレビュープラットフォームを管理しておらず、否定的なレビューを削除することはできません。否定的なレビューしか見つからなかったり、レビューが全く見つからなかったりした場合は、その会社と取引するリスクを再考する必要があります。
さらに、ユーザーは、OneSpanMobile Security Suiteのような強固なセキュリティソリューションが導入されている金融アプリケーションのみを使用すべきです。
無料トライアルに懐疑的であり続けること
無料トライアルは、企業にとっては製品の価値を示すのに役立つ素晴らしいツールであり、顧客にとっては適切なソリューションを購入していることを確認するのに最適なものです。しかし、無料トライアルのダウンロードは詐欺師の策略である可能性もあります。電子メール情報を狙うフィッシングや、ユーザーのデバイスを遠隔操作するマルウェアの可能性もあります。無料トライアルを含め、ウェブサイトから何かをダウンロードする前に、ユーザーはウェブサイトを信頼し、その正当性を確認できることを確認する必要があります。