RSA Securityのナフタリ・ベネット氏によると、オンライン詐欺は、役割も性質も異なる3種類のグループが連携して仕掛けてくるという。
「これまで、オンライン詐欺を仕掛けてくるのは1つの大きな組織だと考えられてきた。しかし半年にわたるわれわれの調査の結果、実際には3つの異なるタイプの人々が連携して不正を働いていることがわかってきた」――米RSA Securityのコンシューマー・ソリューションズ部門担当上級副社長、ナフタリ・ベネット氏は、オンライン詐欺の動向に関してこのように語った。
ベネット氏は4月26日、27日にわたって開催されたRSA Conferenceに合わせて来日した。同氏は、2005年にRSA Securityが買収したセキュリティ企業、Cyotaの共同創設者であり、CEOを務めていた。
ベネット氏は、オンライン詐欺団は「ツールビルダー」「データコレクター」、それに「キャッシュグラバー」の3種類に分けられると説明する。
ツールビルダーとは文字通り、不正行為に必要なツールキットを作成するグループだ。フィッシングやファーミング、あるいはボットネットを構築できる「DIYオンライン詐欺ツール」を開発する人々である。「彼らはそのツールを用いて自分自身で攻撃を仕掛けるのではなく、それをデータコレクターに売りつけて利益を得ている」(ベネット氏)
データコレクターは、こうして入手したツールを用い、ユーザーのIDやパスワード、クレジットカード情報などを盗み出す人々だ。詐取した情報は数十件単位でまとめられ、パッケージとしてキャッシュグラバーに販売される。キャッシュグラバーはこの情報を用い、さまざまな手段で被害者から金銭を巻き上げるという。
「ツールビルダー以外は、コードを書けなくてもかまわない。オンライン不正行為がこのように広がった理由は、こうした経済グループが成立しているから。全員がプログラマーである必要はなく、いくつかのツールと情報がうまく交換されている」(同氏)
ベネット氏によると、犯罪者が詐欺を企む際に気にするのは3つの事柄だという。1つは、その犯罪が容易かどうか。2つめはそれによって得られる利益の大きさ。最後は警察などに捕まるリスクだ。
「フィッシングを例にとると、フィッシングサイトの準備は5時間もあればできる。見返りについても、50〜100件のクレジットカード情報を入手できれば十分だ。しかも捕まるリスクは小さい。これまでフィッシング詐欺を理由に検挙された人はほんの一握りに過ぎない」(ベネット氏)。街中で数十人を対象にスリを行う場合に比べ、ずっと捕まりにくく、しかも多くの額を稼げるとした。
同氏は、フィッシング詐欺がさらに広がりつつあると指摘した。「大手行ほど十分な対策を取れず、対策のための予算も持てない中小規模の銀行が狙われつつある。また、これまであまりフィッシング詐欺が存在しなかった地域や非英語圏への広がりも見られる。こうした地域では、ユーザーにも企業側にもあまり経験がなく、詐欺に対して脆弱だからだ」(ベネット氏)
さらに今後は、偽メールを使って詐欺サイトへ誘導する古典的なフィッシングやキーロガーに続き、「ハイジャック型トロイの木馬」なるものが登場するだろうと予測する。
このマルウェアは「一種のスパイウェアで、ユーザーがオンラインバンクのサイトにアクセスし、正規ユーザーとして認証したタイミングでオンになり、勝手に他人の口座への送金作業などを行う」(同氏)という。この場合、対策はより困難になる。ユーザー認証を経た後に不正が働かれるからだ。
こうしたオンライン詐欺の手口に対し、RSAセキュリティでは、トークンによる認証の強化といった手段に加え、フィッシング詐欺サイトの検出と閉鎖、オンライントランザクションの監視による不正行為の発見といったサービスを通じて対策を提供していくという。
たとえば、取引が行われた機器の種類やIPアドレス、プロファイルなど、さまざまな要素に基づいて処理状況をスコアリングし、その値に基づいて取引が信頼できるものか、それとも不正なものかを判断する仕組みが用意されているという。また、不正取引に関するデータベースを構築し、情報を共有することによって、「仕掛けられるオンライン詐欺の8〜9割は防ぐことができる」(ベネット氏)。
さらに「反撃手段も用意している。大量のニセの情報をフィッシングサイトに流し込むことによって、キャッシュグラバーに質の悪い情報をつかませる」(同氏)
こうした対策に加え、法執行機関とも連携することにより、「オンライン不正行為を仕掛けにくくし、彼らのビジネスモデルを効果のないものにしていく」と同氏は述べた。
なお、ユーザー自身が身を守る鉄則は、「銀行から電子メールが来ても決して返信しないこと」「もしメール中のURLをクリックしてしまったら、クレジットカードやパスワードを更新すること」といった基本に加え、「2〜3日おきにオンラインバンクにアクセスして、取引履歴をチェックすることが大事だ。こまめにチェックを行えば行うほど、不正に気づきやすくなる」(ベネット氏)
Copyright © ITmedia, Inc. All Rights Reserved.