ログインのその先へ — ライフサイクル保護によるアカウントのセキュリティ確保

オンラインアカウントの不正利用 にはさまざまな形態があり、ユーザーアカウントをめぐる異なる段階における弱点を標的にします。組織がアカウントの 1 つの側面にのみセキュリティの焦点を当てている場合、偽のアカウント作成からログイン後の不正利用に至るまで、脅威に対して脆弱になります。

アカウント不正利用の一般的な形態には、 アカウントの不正作成、 アカウントの乗っ取り、ログイン後の不正利用などがあります。

詐欺犯罪者は、盗難またはシンセティックアイデンティティを使用して偽のアカウントを作成し、プロモーションを悪用したり、マネーロンダリングを行ったり、金融詐欺を行ったりします。

攻撃者は、データ漏えいから盗まれた認証情報を使用して、さまざまなサイトでログインを試み、パスワードを使い回しているユーザーを悪用します。盗んだ認証情報や フィッシングによって攻撃者がアカウントにアクセスすると、アカウント乗っ取りによる不正利用や詐欺を実行します。

ログインに成功した後でも、攻撃者はアカウントの更新、パスワードのリセットと変更、または支払い取引のセキュリティギャップを悪用する可能性があります。不正取引の実行、在庫の買い占め、カーディング攻撃の実行、個人データの窃取など、悪性のアクティビティを実行できます。

包括的なセキュリティ戦略でこれらの一般的なアカウント不正利用のすべての段階に対処できなければ、企業やユーザーは危険にさらされたままとなります。

オンラインアカウントのセキュリティを確保するためには、多層的なアプローチが必要です。以下に、保護が不可欠となる重要な段階を示します。

• アカウントの作成：詐欺犯罪者は、盗んだアイデンティティまたは偽の情報を使用して 偽のアカウントを開設 し、プロモーションオファーの悪用、マネーロンダリング、その他の犯罪行動に関与することがよくあります。アカウント作成時の疑わしいパターンを早期に検知することで、不正利用のさらなる拡大を防ぎます。

• パスワードのリセットとアカウントの検証：詐欺犯罪者は多くの場合、パスワードのリセットプロセスを操作してユーザーアカウントを乗っ取ります。パスワードのリセット要求を監視して、代表的な使用デバイス、IP アドレス、位置情報などのユーザーの典型的なふるまいと照合することで、企業は異常なリセット試行をリアルタイムで検知し、ブロックできます。

• アカウントログイン：アカウントログインは、 Credential Stuffing や 総当たり攻撃 などの攻撃の主な標的となります。これらの攻撃では、攻撃者が自動化ツールと高度なボットを使用して、多数のユーザー名とパスワードの組み合わせを試します。強力な認証方法を導入することで、不正アクセスをブロックできます。

• アカウントの更新とパスワードの変更：アカウントが侵害されると、攻撃者はアカウントの詳細を更新したり、正規ユーザーを締め出すために変更を加えたりする可能性があります。予期しないアカウントの更新、パスワードの変更、新しい支払い方法の追加など、不審なアクティビティを監視することで、詐欺犯罪者の行動を特定し、被害を未然に防ぐことができます。

• 支払い：詐欺犯罪者はアカウントを乗っ取った後、不正な取引や送金を行うことがよくあります。支払い時のふるまいの異常を監視することで、企業は不正行為に対するチェックアウトのセキュリティを確保できます。