モバイル不正検知とは?
モバイル機器やモバイルアプリケーションの普及に伴い、モバイル詐欺の攻撃は増加の一途をたどっています。 最近のモバイルバンキングの急増はCOVID-19によるところが大きいですが、モバイルの利用拡大は今後も続くでしょう。 詐欺師たちも、モバイル詐欺にチャンスを見出しています。 2020年第1四半期には、モバイルバンキングのトロイの木馬が173%と大幅に増加しており、業界の専門家は、2020年第1四半期に世界で発生するモバイルフィッシング攻撃が前年同期比で37%増加 すると報告しています。 このような状況に対処するため、モバイル不正検知では、モバイルアプリのシールドやリスク分析などのさまざまな技術を用いて、アカウントの乗っ取りなどの不正行為を防止しています。 さまざまな技術が舞台裏で使用され、不正行為を検出し、ユーザーのユーザーエクスペリエンスに影響を与えることなく、消費者に不正防止を提供しています。
モバイルデバイスとアプリがどのようにモバイル詐欺を引き起こしているか
指標によると、モバイルユーザーが銀行業務に必要なものを自分のデバイスに依存する傾向が強まっています。 ジュニパー・リサーチ社のレポートによると、2020年の12億人に対し、2021年末までに世界で20億人以上のモバイルユーザーが銀行業務を目的として端末を使用するようになるとのことです。 オンラインチャネルは依然として脅威にさらされていますが、世界中の消費者がゲームやその他の娯楽のためのアプリなどへのeコマース支出を続けていることから、詐欺師たちはより多くの時間と資金をモバイルチャネルへの攻撃に投じています。 Statistica社によると、「2024年、消費者はGoogle Playストアのモバイルアプリに555億米ドルを費やすと予測される。 App StoreとGoogle Playでのユーザー支出を合わせると、2024年までに約1,710億米ドルに達する見込みです。"
モバイル詐欺の検出、一般的なモバイル詐欺の手法の理解
攻撃者は様々な手法を用いてモバイル詐欺を行います。 いくつか例を挙げてみましょう。
- リバースエンジニアリング:悪質な行為者は、アプリをリバースエンジニアリングして、そのソースコードや構成要素を分析することができます。 ここでの目的は、アプリの動作を悪用したマルウェアの開発や、アプリの改ざんに利用できる情報を収集することでしょう。 例えば、攻撃者は、銀行アプリをリバースエンジニアリングして発見した脆弱性を利用するように設計された独自の悪意のあるアプリを展開するかもしれません。
- リパッケージ:リパッケージ攻撃は、攻撃者がアプリをリバースエンジニアリングし、悪意のあるコードをアプリに挿入した後、改ざんされたアプリを非公式のマーケットプレイスで再公開することから始まります。 消費者にとっては、あたかも正しいアプリケーションをダウンロードしたかのように見え、そのアプリケーションが正規のアプリケーションであるかのように見えてしまいます。 しかし、偽造アプリの裏では、個人情報を盗んだり、資金を送金したり、その他の悪質な活動を行うコードが存在します。
- オーバーレイ攻撃:オーバーレイ攻撃とは、正規のアプリケーションのユーザーインターフェースの上に、攻撃者が作成した画面を表示するものです。 疑うことを知らない被害者にとっては、アプリ内で通常の操作をしているように見えますが、ユーザー名、パスワード、クレジットカード番号、その他の個人を特定できる情報などの機密情報を、攻撃者が管理するフォームに入力することになります。 そして、悪意のあるウィンドウに入力された情報は、そのまま攻撃者に送信されます。 この詐欺の被害者は、自分が情報を渡してしまったことを知りません。 オーバーレイ攻撃は、データの乗っ取りに加えて、ソーシャルエンジニアリングにも利用されます。 これらは、ユーザーを騙して他のマルウェアをインストールさせたり、マルウェアアプリにユーザーの携帯電話の完全な制御権を与えるなど、モバイルデバイス上で安全でないタスクを実行させるために使用されます。
- 不正なキーボード:アプリマーケットには、モバイル機器にインストールされているネイティブキーボードに代わる、合法的な代替キーボードアプリケーションが数多く存在します。 これらのキーボードアプリの中には、攻撃者が悪用できる脆弱性があるものや、キーストロークを記録して攻撃者に送信することを目的とした不正なキーボードアプリもあります。
- モバイルバンキングのトロイの木馬:モバイルバンキングのトロイの木馬は、一見すると正規のもののように見えますが、感染したデバイス上のモバイルバンキングアプリを特異的に標的とするマルウェアが隠されています。 モバイルバンキングのトロイの木馬がよく使う手法は、正規のバンキングアプリケーションの上に偽の画面を置くオーバーレイ攻撃です(前述の「オーバーレイ攻撃」を参照)。 このマルウェアは被害者の認証情報を取得し、他の銀行取引が行われている間も活動を続けることができます。 例えば、マルウェアは資金移動を傍受し、不正な口座に資金をリダイレクトすることで、取引データを改ざんすることができます。 このような攻撃は、世界的にスマートフォンの普及が進むにつれ、増加することが予想されます。 FBIは、スマートフォンやタブレットでアプリをダウンロードする際には、中にはバンキング・トロイの木馬の可能性もあるので、慎重になった方が良いと指摘しています。
- Man-in-the-Middle Attacks:Man-in-the-Middle攻撃とは、金融機関とお客様の間に詐欺師が位置し、疑われることなく両者間の通信を傍受、編集、送受信することができる攻撃です。 詐欺師は、攻撃を行うために、悪意のあるまたは不正なWi-Fiネットワークを公衆のホットスポット(不正アクセスポイントと呼ばれる)として設定することで、お客さまの端末とサーバー間の通信チャネルを乗っ取ります。 お客様は、詐欺師が管理するネットワークを通じて支払いデータを転送している可能性があることに気づかずに、公衆ホットスポットを利用することができます。 モバイルアプリの通信は、モバイルアプリが探している特定の証明書を使用しているために、アプリが特定のサーバーとのみ通信するという証明書のピン留めなどにより、安全に実装されなければなりません。 そうしないと、アプリは中間者攻撃を受けやすくなります。 また、詐欺師は、SDKとそのSDKが到達しようとしているエンドポイントの間に自分自身を挿入するために、Man-in-the-Middle(中間者)攻撃を使用します。 そして、そのエンドポイントに連続してテストコールを行い、どのコールが成功したアクションを表すかをリバースエンジニアリングします。 そのうちに、インストールが成功したことを示すパラメータがどのように渡されているかがわかるようになります。 アプリの「インストール」に成功すると、SDKの偽装を続けます。
- SIMスワッピング: SIMカードのスワッピングは、お客様が新しい機器を購入した際に、古いSIMカードが使えなくなった場合に、携帯電話会社が提供する正当なサービスです。 悪徳業者がこのサービスを悪用する可能性があります。 SIMスワップでは、詐欺師がソーシャルエンジニアリング技術を用いて、被害者の携帯電話番号を新しいSIMカードに移します。 詐欺師は、お客様の携帯電話会社に連絡してお客様になりすまし、コールセンターの担当者を説得して、携帯電話番号を詐欺師の管理下にあるSIMカードに移植させます。 その結果、ユーザーの銀行アプリを詐欺師のスマホで起動することができます。 銀行の認証メカニズムに、ワンタイムパスワードを送信する手段としてテキストメッセージが含まれている場合、被害者の番号を引き継ぐことは、犯罪者が銀行取引中に不正な取引を行ったり、支払先を追加したり、その他の操作を行うための魅力的な手段となります。
- モバイル・フィッシング:フィッシングの一種であるスミッシングは、悪質な業者がリンクをメールで送り、そのリンクをクリックさせようとするものです。 このリンクをクリックすると、フィッシングページが表示され、ユーザーは騙されてログイン情報を入力させられたり、知らないうちにデバイス上に監視用スパイウェアのサイレントダウンロードが開始されたりします。 その目的は、デバイスに保存され、アクセスされる個人データ、機密データ、企業データへの不正なアクセスを得ることです。 短縮されたURLであるタイニーURLは、悪意のあるコンテンツに誘導するためにSMSフィッシング攻撃でも使用されており、大規模なスミッシング攻撃でもよく使用されています。
モバイル不正検知を強化する技術
モバイル詐欺は、お客様と金融機関に影響を与えます。 詐欺の被害に遭った既存の顧客は、金融機関を離れる可能性が高く、潜在的な顧客は、詐欺のエコシステムが進化し続ける中で、詐欺防止や詐欺対策に甘いと考えられる銀行との契約に慎重になるかもしれません。
モバイル不正検知の技術、機能、ソリューション
モバイル・イン・アップ・プロテクション:モバイル・イン・アップ・プロテクションは、開発者がモバイルアプリに統合することで、リパッケージ、マルウェア、スクリプト・インジェクション、リバース・エンジニアリング、SMSグラビングなどのモバイルの脅威に対する耐性を高めることができる、モバイルアプリのセキュリティおよび認証技術の総称です。 ガートナー社は、モバイルアプリはセキュリティレベルが異なる様々な信頼できないモバイルデバイス上で実行されるため、自己防衛アプリは「非常に重要」だとしています。 ガートナー社は、「信頼できない環境で実行され、フロントエンドでソフトウェアロジックを動かす重要で価値の高いアプリケーションには、アプリ内保護を選択する」ことを推奨しています。 最も一般的なユースケースは、モバイルアプリ、シングルページのウェブアプリ(特に消費者向けのもの)、および接続デバイス上のソフトウェアになるでしょう」 また、ガートナー社は、アプリケーションのセキュリティテストや脆弱性パッチの代わりにアプリ内保護機能を使用することは避け、アプリ内保護機能のソリューションを検討する前にセキュアコーディングのベストプラクティスを採用することを推奨しています。
モバイルのアプリ内保護ソリューションは、以下のようなセキュリティおよび認証機能で構成されています。
- RASP(Run-time Application Self Protection)によるモバイルアプリのシールド:ランタイムプロテクションによるアプリのシールドは、リアルタイムに攻撃を検知・防御することができます。 モバイルアプリのシールドとランタイムプロテクションを組み合わせることで、モバイル金融アプリを安全に実行したり、アプリの機能に干渉する外国のコードをブロックしたり、データに対する脅威が存在する場合にアプリケーションをシャットダウンしたりすることができます。 また、アプリシールドとランタイムプロテクションを統合することで、信頼できないモバイルデバイスであっても、サイバー犯罪者から機密情報を保護することができます。
ガートナー社の造語であるRASP(Run-time Application Self-Protection)は、複数のタイプのマルウェアからの侵入からモバイルアプリを保護するものです。 RASPは、モバイルアプリにネイティブに統合されており、アプリを標的とした悪意のある攻撃を検知し、機密データが漏洩して不正に使用される前にアプリを停止させることで、攻撃を緩和します。 潜在的な脅威を無力化することでモバイルアプリのセキュリティを強化し、ハッカーから機密データや高額な取引を保護します。
ランタイムプロテクションを用いたアプリシールドは、エミュレータ上やデバッガに妨害されたときにアプリが動作しないようにすることで、モバイルアプリを保護する予防ツールです。 これらは、リバースエンジニアがアプリを調査して脆弱性を発見するためのツールです。 悪意のあるキーロギング、再パッケージ化されたアプリケーション、ジェイルブレイクされたデバイスやルート化されたデバイスなどを検出します。
金融機関は、リスク分析技術(リスクエンジン)をモバイルアプリシールドやモバイルセキュリティ技術と組み合わせることで、実行環境にあるアプリに関する追加情報を収集し、不正管理を最適化するとともに、リスクの高い環境でもバンキングアプリを安全に機能させることができます。
アプリケーション・ハードニングは、予防機能とも呼ばれ、攻撃者が攻撃を実行するために必要な労力のレベルを高めます。 -
リスクベース認証:機械学習アルゴリズムを用いたリスクベース認証(RBA)は、各金融取引のリスクレベルを判断し、どのレベルの顧客認証が必要かを判断することで、モバイル詐欺を防止します。 RBAは、必要とされる顧客認証のレベルを、関連するリスクのレベルに合わせて調整し、偽陽性を減らすのに役立ちます。つまり、不正の懸念があるために誤って拒否される顧客を減らすことができます。 これまで多くの組織では、すべての顧客や取引に対して、固定のパスワードとユーザー名という1種類の認証に依存していました。これはバイナリ認証です。 パスワードやユーザー名は、詐欺師が簡単に盗み出し、悪用することができるため、弱いセキュリティと考えられています。 一方、リスクベース認証は、ユーザーとそのトランザクションにコンテキストを与えて、リスクレベルと詐欺の感受性を判断するため、強力な認証の一形態です。 リスクの高い取引の場合、ユーザーは本人確認のために追加の認証を求められます。 認証に使用される一般的な要素は、「Something you know」、「Something you have」、「Something you are」の3つです。 最も一般的な認証は、自分が知っているもので、パスワードや単純なPIN(個人識別番号)などがあります。 しかし、詐欺師にとっては最も簡単な方法でもあります。 あなたが持っているもの」とは、モバイルデバイスやハードウェア認証トークンのように、1回限りのパスコードを生成するものを指します。 また、プッシュ通知やワンタイムパスワード(OTP)などのスマートフォンを使ったオプションは、多要素認証(MFA)を実現します。 バイオメトリクスとは、指紋、顔のスキャン、音声分析などの「自分らしさ」を表現するもので、パスワードレス・ログインへの移行の一環でもあります。 この3つの認証要素を組み合わせることで、より強固なセキュリティを実現し、不正行為を阻止することができます。 指紋認証とワンタイムパスコードの組み合わせは、セキュリティを強化し、多要素認証の一例です。
-
Out of Band Authentication(帯域外認証): 帯域外認証とは、二要素認証(2FA)の一種で、通常のIDとパスワードに加えて、別の通信路を介した二次的な認証手段を必要とするものです。 例えば、お客様のデスクトップを1つのチャネルとし、携帯電話を別のチャネルとするようなものです。 攻撃者が2つの異なるチャネルを侵害することはより困難であり、アクセスを得るためには2つの異なるチャネルを侵害する必要があるため、アカウントの乗っ取りが成功する可能性は低くなります。 OOB(Out of Band)認証は、金融機関など高いセキュリティが求められる組織で利用されています。 攻撃者がアクセスするためには、2つの独立した、接続されていない認証チャネルが同時に侵害される必要があるため、アカウントのハッキングがより困難になります。
-
多要素認証:多要素認証(MFA)は、複数の技術を用いて顧客のアイデンティティを認証するもので、少なくとも2つの異なるグループまたは認証要素の検証技術を組み合わせる必要があります。 認証要素は以下の通りです。
知っていること:パスワード、PIN、パスフレーズ、質問とその回答。
あなたが持っているもの:ほとんどの人は、認証アプリをインストールしたスマートフォンを、これらのコードを生成したり、ワンタイムパスコードでサーバーに応答するためのデバイスとして使用しています。
あなたらしさ:指紋、網膜スキャン、顔認識、音声認識、ユーザーの行動(画面上でのタイピングやスワイプの強さや速さなど)など、固有のユーザーを識別するために使用できるものを指します。
多要素認証を実現するためには、少なくとも2つの異なる技術グループの少なくとも2つの異なる技術を認証プロセスに使用する必要があります。 その結果、PINとパスワードの併用は多要素認証とはみなされず、PINと顔認証を第二要素として使用する場合は多要素認証とみなされます。 また、2つ以上の認証方法を使用しても構いません。 しかし、ほとんどのユーザーは、フリクションレス認証(認証を行わなくても、認証を受けられること)を求めるようになってきています。 MFAは、例えば、アカウント乗っ取り詐欺やフィッシングを防ぐことができます。 -
Cronto®:Cronto®(QRのようなコード)は、金融取引を認証または承認することができ、高額な取引の保護を強化します。 お客さまのパソコンのブラウザ上には、QRコードに似たグラフィカルな暗号が表示されます。 銀行だけがコードを生成することができるので、顧客と銀行の間に安全なチャンネルを設定するために信頼することができます。 取引を行う際には、ブラウザ上のオンライン・バンキング・アプリケーションに支払いデータを入力します。 すると、QRのようなコードが表示されるので、携帯端末のカメラで読み取ってください。 あなたのデバイスはそれを解読し、支払いデータを復号して、平文であなたの携帯電話に表示します。 このアプローチは、欧州連合(EU)の改正決済サービス指令(PSD2)の規制技術基準に記載されているダイナミックリンクの要件を満たしています。
モバイル詐欺の検知に役立つ、追加のモバイルセキュリティ機能。
- コードを難読化することで、攻撃者がアプリケーションの動作をリバースエンジニアリングすることを困難にします。 その結果、読みにくいアプリケーションは、攻撃されにくく、知的財産を盗まれにくいはずです。
- ホワイトボックス暗号:ホワイトボックス暗号と呼ばれるもので、暗号化と難読化を組み合わせたり、コードをスクランブルして理解しにくいようにすることで、攻撃者がアプリで使用されている暗号鍵を解読できないようにするために使用されます。 また、ホワイトボックス化の目的は、OSに依存しないセキュリティメカニズムを提供することであり、攻撃者がモバイルOSやデバイスを侵害した場合でも秘密鍵を保護することにあります。
- 証明書のピン留め:特定の範囲の認証局からの証明書を受け入れるのではなく、ピン留めにより、相互認証プロセスに関わる当事者が特定の証明書をピン留めすることができ、その証明書のみが受け入れられることになります。 攻撃者が証明書を偽装した場合、この証明書が正当な認証局からのものであっても、通信相手はその証明書を拒否し、中間者攻撃を回避することができます。
モバイルアプリケーションがどのように脆弱になるか
モバイルアプリの開発者は、自分のアプリがどのように使われるのか、それがモバイル広告詐欺なのか、モバイルバンキング詐欺なのか、どのような環境で使われるのか、最終的にはわかりません。 そのため、銀行アプリが端末上のマルウェアに狙われ、金融機関の不正損失につながるリスクが常に存在しています。 Apple App StoreやGoogle Play Storeでは、大部分のマルウェアがフィルタリングされていますが、アプリ詐欺の可能性もあります。 アプリストアには、個人情報を盗んだり、モバイルデバイスや他のアプリに悪意のあるコードを注入したりするための悪意のあるアプリケーションが存在し、ダウンロードされるのを待っています。 ユーザーが公式ストアからのみアプリをダウンロードしていても、悪意のあるものが紛れ込む可能性があり、悪意のあるアプリがユーザーのデバイスに存在すると、開発者のアプリが潜在的に危険にさらされることになります。
もう一つの誤解は、iOSやAndroidのOSは、モバイルデバイスに十分なセキュリティを提供し、ひいてはモバイルアプリにも十分なセキュリティを提供するというものです。 これは、ある程度は事実です。 AndroidとiOSは、脆弱性を取り除くためにOSのパッチ適用にかなりの時間を費やしていますが、どちらも100%安全ではなく、ユーザーの過失を考慮することもできません。 モバイルアプリケーションの開発者は、AndroidやiOSのセキュリティに単純に依存することはできず、アプリケーションを安全にするために追加の措置を取る必要があります。 また、脆弱性が発見されてから、メーカーや携帯電話会社がパッチを公開するまでには、必ず時間差があることにも注意が必要です。 このパッチがダウンロードされないと、ユーザーは、攻撃者や悪意のあるコードが存在する古いバージョンのOSを使用することになります。
銀行アプリに求められるセキュリティ
Open Web Application Security Project(OWASP)は、技術者、データセキュリティの専門家、開発者など、各分野の業界リーダーからなる国際的なコミュニティで、モバイルアプリケーションのセキュリティに関する独立した基準「Mobile App Security Verification Standard(MASVS)」を策定しました。 Open Web Security Projectは、iOSおよびAndroidのモバイルアプリについて、その機能に応じて推奨されるセキュリティ機能について、偏りのないガイダンスを提供しています。 銀行や金融サービスのアプリケーションは、そのセンシティブなデータのために、OWASPで最も厳しいセキュリティ基準を必要とします。 また、リバースエンジニアリングに対する耐性も必要です。 銀行業務アプリケーションは、様々なOSの様々なデバイスを使用する多くの多様な利用者を対象としているため、特に注意が必要です。 銀行系アプリは、最も厳しいセキュリティ基準であるOWASP(Open Web Application Security Project)のMASVS L2+Rに該当します。