ATO（アカウント乗っ取り詐欺）とは?

アカウント乗っ取り詐欺とは?

アカウント乗っ取り詐欺は、攻撃者が個人のアカウントに不正にアクセスするデータ詐欺の一例です。これにより、攻撃者はアカウント内の個人情報、例えばPINコード、アカウント設定へのアクセス、郵送先情報、ユーザー名、パスワード、さらには不正出金の権限などを手に入れることを狙います。

ATO攻撃は、攻撃者が直ちに一つ以上の個人アカウントにアクセスする攻撃形態です。攻撃者は、銀行、メール、金融、旅行、オンラインショッピング、公共サービス、電話など様々なアカウントに侵入する可能性があり、取得した情報を用いて不正行為を行います。

金融アカウントの乗っ取りは、攻撃者が被害者の口座から直接の引き落としや不正な支払い、送金を行う際に発生します。その他の情報が被害者の同意なしに利用され、被害の規模は侵入されたアカウントによって大きく変わります。

ATO攻撃の4段階

ATO攻撃中、攻撃者の目的はログイン試行を通して携帯電話のセキュリティ確認手段を突破することです。SMSやその他の認証システムで被害者の携帯電話に送られるコードやセキュリティトークンを入手し、このコードを使って被害者の銀行口座、デジタルウォレット、その他の機密情報へアクセスします。

アカウント乗っ取りに用いられる認証情報は、ダークウェブ上の情報流出マーケットで販売されるほか、マルウェアや高度なフィッシング手法で被害者から直接取得されることもあります。攻撃者がアカウントにアクセスすると、認証情報を変更し、被害者のアクセスを遮断します。

攻撃者はアカウントの管理権を完全に掌握し、変更の通知を被害者に伝えないため、被害が拡大しても気付かれにくいのです。

ATO攻撃は、大きく4つの段階に分けられます:

• サイバー犯罪者は利用者が複数のプラットフォームで同じ認証情報を使い回すことを知っており、まずは流出した情報を入手します。情報漏洩の頻発により、ダークウェブ上では膨大な数の認証情報が取引されています。
• 次に、入手した認証情報を対象アカウントに対して試行します。これらの攻撃は、ボットやクレデンシャルスタッフィングと呼ばれる手法を用いた手動または自動の試行で行われ、目的によっては全アカウントの3～8%にアクセスできるとされています。
• 有望な認証情報が確認されると、攻撃者は自らログインしてアカウントを支配するか、もしくはその情報を他の攻撃者に売却します。
• 通常、単一アカウントから得た情報は複数の攻撃や他のサイバー攻撃に転用されます。例えば、メールアカウントが乗っ取られた場合、そのアクセス情報を使って他のアカウントのパスワードをリセットしたり、被害者の連絡先を騙すなどの手口が取られます。

ATOで詐欺師はどう見過ごされるか?

アカウント乗っ取りを試みる際、詐欺師は被害者に不審な行動を気付かれないよう、アカウント情報の変更やパスワードの更新、通知の表示など、疑われる可能性のある動作を避けるよう細心の注意を払います。攻撃者は、隠された送金先口座へ資金を移動したり、別のアカウントに資金を振り替えることで、被害者から資金を引き出します。

詐欺師は、追加のMastercardや新しいアカウント、金融商品の要求を行う場合もあり、その他にもさまざまな不正行為を実行する可能性があります。

詐欺師はネット上で流出した認証情報を購入するため、そのアクセスを完全に防ぐのは困難です。複数の利用者からパスワード変更の申請があったり、未知の人物からの多くの失敗したログイン試行がある場合は、アカウント乗っ取りの兆候と言えます。被害が疑われる場合、口座保有者は銀行へ通報することが可能です。ATO攻撃が成功すると、利用者と金融機関の信頼関係に亀裂が入り、金融機関の信用にも影響を及ぼします.

アカウント乗っ取り詐欺で採用される手法

ATO攻撃において、攻撃者は被害者のアカウント情報へアクセスするための認証情報を入手することを最重要目標としています。以下の方法で認証情報が取得されることがあります。

フィッシング

人は生来、信用しやすい性質があるため、どのセキュリティ体制においても最も弱い部分と言えます。この性質を利用し、大手ブランドや個人、あるいは貴社の金融機関を装ったフィッシング詐欺が行われます。実在する人物のように見せかけ、差し迫った支援を求める要求が発せられ、結果として不審なリンクをクリックさせ、偽の銀行ポータルへ誘導します。リンク先ではマルウェアが仕込まれ、認証情報が盗まれる可能性もあります。

最も一般的なフィッシング手法はメールですが、インスタントメッセージやソーシャルメディアのメッセージサービスで行われる場合もあります。携帯端末を利用する際は、信頼できない送信元からのリンクは避けるべきです。メッセージ内のリンクは、知らぬ間に端末へマルウェアを仕込む危険性があります。

クレデンシャルスタッフィング

多くの詐欺師がダークウェブで盗まれた認証情報を購入しています。これには、メールアドレスやパスワード、金融情報など幅広い情報が含まれ、情報漏洩の結果として流通しています。クレデンシャルスタッフィング攻撃では、ボットが急激に自動化されたリクエストを行い、アカウントへのアクセスを試みます。

一度の乗っ取りで得た情報は、他の被害者のアカウントに対しても利用される可能性があります。同じ認証情報を使い回している場合、ATOの標的となる恐れがありますが、生体認証やOTPなど多様な認証手段が導入されていれば、アクセスはより困難になります。

また、ブルートフォース、すなわち認証情報の解読を試みる攻撃もあります。これは、アカウントのログイン情報を割り出すために、何度も試行を繰り返すものです。

SIMカードの入れ替え

SIMカードの交換は、利用者が新しい端末を購入した場合に、旧SIMが利用できない際、通信事業者が提供する正当なサービスです。しかし、詐欺師はこの状況を利用し、ソーシャルエンジニアリングによって被害者の電話番号を不正なSIMカードへ移す手口を使います。これにより、攻撃者は別の端末から被害者のモバイルバンキングにログインできるようになり、銀行の認証がワンタイムパスコード送信を伴う場合、詐欺が成立しやすくなります。

マルウェア

マルウェアは、攻撃者が被害者のアカウントを乗っ取るためのもう一つの手法です。必要なのは、被害者の端末にマルウェアがインストールされることだけで、不審なソースからアプリをダウンロードしたり、他のプログラムに偽装されたアプリを利用すると感染する可能性があります。

モバイルバンキング型トロイの木馬

詐欺師が一般的に行う手法として、モバイルバンキングのトロイの木馬があります。これは銀行アプリの画面上に偽の画面を重ね、被害者の認証情報を盗み取り、他の金融取引を行っている最中も活動を続ける攻撃です。例えば、取引内容を変えて不正な口座へ資金を送ることがあり、このような攻撃は携帯端末の普及に伴い頻発しています。

中間者攻撃

この攻撃では、詐欺師が通信の中継点に身を置き、通信内容を傍受、改ざん、取得、送信することで不正な操作を行います。例えば、カフェなどで公共のホットスポットを装った悪質なWi‑Fiネットワークを設置し、利用者の端末と銀行サーバー間の通信を狙う手法があります。公共のホットスポット利用時に、重要な認証情報が詐欺師に渡るリスクがあるため、セキュリティ対策の整っていない金融機関では特に注意が必要です.

‍

アカウント乗っ取り詐欺の標的は誰か?

顧客アカウントへの不正アクセスは、金融機関にとって常に大きな懸念事項です。今日、顧客にシステムへのログインを許可している組織であれば、どこでもATOの被害に遭う可能性があります。2021年のVerizon DIBR報告では、最も一般的なリスクは金融に関するものであるとされています。サイバー犯罪者は、個人情報の販売、資金や暗号通貨の窃盗など、最も迅速かつ簡便な方法で利益を得ようとします。

また、被害者の個人情報を収集する目的で犯行に及ぶ場合もあります。個人情報は、他者になりすますために利用されるなど非常に価値が高く、詐欺師は被害者名義での融資申請、保険詐欺、金融商品の取得などを行ったり、盗まれた個人情報を使って他の被害者にアクセスしたりします。

被害者にとっては、例えばNetflixのアカウントが14日間ロックされる程度の影響に留まる場合もありますが、2021年のサイバー犯罪による世界全体の損失は6兆米ドルと推定されています。こうした損失は、個々の被害者だけでなく、ランサムウェアによる医療機関や銀行のサービス停止、ストリーミングなどのデジタル商品の価格上昇を通じて、全体の社会に影響を及ぼします。

‍

アカウント乗っ取りの目的

アカウント乗っ取り自体がサイバー犯罪者に直接利益をもたらすわけではなく、アクセス後に実際の被害が発生します:

• フィッシングキャンペーン：乗っ取ったメールアカウントを利用し、不正なフィッシングキャンペーンを配信する。
• 認証情報の売買：他の利用者の認証情報を収集し、闇市場で販売する。
• さらなるアカウント乗っ取り：既存のアカウントを足がかりに、偵察を行い標的型攻撃を実施する。
• ビジネスメール詐欺：重要な従業員の認証情報を入手し、その正規のメールアドレスから不正な送金指示を発信する。
• 信用毀損：アカウント乗っ取りは、組織全体の利用者に影響し、企業のセキュリティやデータ保全に長期的な悪影響を及ぼす。

‍

アカウント乗っ取り詐欺の検知方法

詐欺師は利用者の通常の行動を装うため、ATOの検知は難しいです。継続的な監視により、攻撃が始まる前に兆候を捉えることが可能となります。

効果的な不正侵入検知システムは、取引の前、最中、後の利用者の動向を銀行に提供します。最適な防御策は、アカウント上の全活動を監視するシステムで、攻撃者は資金を引き出す前に、新規支払い先の登録などの操作を行う必要があるからです。

アカウントの全ての活動を監視することで、不正乗っ取りの兆候となる行動パターンを特定できます。攻撃者が資金送金前に何らかの操作をするため、継続的な監視を備えた不正侵入検知システムは、そのパターンや兆候を確実に検出します。

また、こうしたシステムは地域などの情報を踏まえてリスク評価を行います。例えば、利用者が北米からアクセスした後、短時間で欧州からのアクセスがあった場合、同一アカウントが異なる人物に使われている可能性が高いと判断されます。

もしATOのリスクが疑われる場合、不正侵入防止システムはアカウント利用者に追加認証を求めます。これには、モバイル認証やIntelligent Adaptive Authenticationといった手法が使われ、指紋認証や顔認証など高度な認証を要求することで、銀行はアカウント乗っ取りを防止します。認証が成功すれば取引は継続され、詐欺師の場合は生体認証に対応できず、攻撃はそこで止められます。

‍

金融機関がATO防止に果たす役割

固定パスワードなどのシングルファクター認証は、銀行と利用者にとってリスクとなります。主要な防御策は、多要素認証（MFA）の導入で、生体認証（指紋や顔認証など）を含む、複製が困難な認証手段が推奨されます。

また、AIと継続的な監視、すなわち取引が行われる瞬間の監視を通じ、アカウント乗っ取り詐欺を防ぐ対策が求められます。利用者が銀行サイトにアクセスするか、モバイルバンキングアプリを起動した瞬間から、継続的な監視が通常のオンライン行動やアカウント、端末との連携を把握します。

AIを活用した継続監視は、攻撃者やボットによる新たな行動パターンを早期に検知します。システムは、新規端末、オファー、ヘッダー、リファラー、地域などのデータポイントを常にチェックし、利用者の通常の行動と合致しない異常を監視します。

この仕組みは、二段階認証（2FA）や、各取引に固有の確認コードを提供する動的連携技術と連携し、欧州改訂PSD2に基づいて、取引金額や受取人に応じた固有の確認コードを生成する仕組みとも一体化しています。

アカウント乗っ取り詐欺を防ぐには

ATO攻撃は、外部情報漏洩で入手された認証情報の使い回しに依存しているため、最新の流出情報を利用したログインを識別することが効果的な防御策となります。

• オンライン環境の整備: 各アカウントが必要最低限の権限のみを持つよう、最小権限の原則を徹底する。オンプレミス環境を分割し、マルウェアの拡散を防ぐとともに、侵害時の影響を軽減する。最新の状態を維持し、特にクラウドやウェブ向けシステムは確実にアップデートする。利用者にはVPNの使用を推奨し、多要素認証を実装する。
• 不審な動きを監視し、迅速に対応: 最新のツールやソフトウェアで高度な監視を行い、提供された認証情報に対して継続的なパスワード監視を実施することで、パスワード管理を徹底し発生するリスクに即時対応できる体制を整える。
• ‍セキュリティ質問: パスワード入力後に、利用者にセキュリティ質問の設定を促す。基本的な追加セキュリティ措置として、不正ログイン試行の防止に役立つ。
• ‍二段階認証（2FA）: 電話番号や別のメールアドレスとアカウントを連携することで、パスワードを知っていても、不審な端末やIPからのアクセスを制限する。
• ‍IPブロック: 同一IPからの繰り返しのログイン試行は、ブルートフォース攻撃や流出認証情報の組み合わせによるアクセスの兆候です。強固なIPブロックリストを維持することで、これらの攻撃を防止できる。
• ‍ログイン試行回数制限: 機密度の高いアカウントは、ログイン試行回数を制限することで、サイバー犯罪者が正しいパスワードを見つけるためのスパム的な試行を防ぐ。特にボットによる複数IPからの攻撃に有効です。
• ‍端末追跡: ログイン地点の追跡と表示により、不審な行動の早期検知が可能です。通常の位置から大きく離れたログインがあれば、アカウントの利用停止を検討する指標となります。
• ‍従業員教育: 従業員が不審なメッセージやフィッシング攻撃を認識できるよう、適切なパスワード管理と使い回しの防止を徹底する教育が不可欠です。従業員は最終防衛線であり、乗っ取りの兆候を把握するための研修が重要です。不正アクセスの通知やフィッシングメールの事例を活用したトレーニングが有効です。
• ‍サンドボックス: もしアカウントが乗っ取られた場合、さらなる取引を防ぐための措置が必要です。不審なアカウントをサンドボックス化し、全ての動作を追跡、必要に応じて停止できる体制を整える。
• ‍WAF設定: 強固なウェブアプリファイアウォールを適切に設定することで、流出認証情報やブルートフォース、ボットネットの兆候を検知し、アカウント乗っ取り試行に対処できる。
• ‍人工知能による検知: 従来のWAFでは、より巧妙なアカウント乗っ取り攻撃の検知が難しい場合がありますが、AI技術の進化により、複雑な攻撃パターンや不正なログイン試行を識別できるようになっています。