合成されたIDによるなりすまし：現代のフランケンシュタイン的怪物を暴く Byアリスデア・フォークナー(ThreatMetrix)

アリスデア・フォークナー
（ThreatMetrix チーフアイデンティティオフィサー）

私たちの中にひそかに紛れこんでいるフランケンシュタイン的怪物とは何者でしょうか？ イギリスの作家メアリー・シェリーが生みだしたキャラクターと同様に、この怪物もまた、本物の人間たちのパーツから出来上がっています。

サイバー犯罪者たちは、金銭を盗む新しく画期的な方法を発見してきました。データ漏洩の急増とともに、身元確認のための認証情報をはじめとする重要な情報が大量に盗みだされ、これらの情報はサイバー犯罪者たちの手に渡ってしまっています。

彼らはインターネットという覆いに隠れて、正当なユーザーのフリをすることができてしまうのです。今では、合成されたID―本物と偽物の個人データを混ぜ合わせたもの―が、銀行や金融業者、保険会社、通信サービスプロバイダー、さらには政府機関までを騙すために使われています。

現代のフランケンシュタイン的怪物の誕生

IDの不正使用による攻撃は世界的に増加しており、組織化されてきています。ThreatMetrixのID不正使用指標（ThreatMetrix Identity Abuse Index）によると、2017年度第4四半期のホリデー期間中に行われた攻撃はネットワークトラフィック全体の10%以上を占め、攻撃も加速的に激化しています。

さらに、新しいタイプのサイバー犯罪者たちは、新しいIDを作りだすためにねつ造された情報を使用しています。これらの情報は、クレジットシステムに未登録、あるいは登録しただけで利用していない実在の人物、例えば子供や高齢者、亡くなった人などの情報を部分的に流用しています。

本物と偽物の氏名や生年月日、住所などの要素を混ぜ合わせ、情報を都合のいいようにつぎはぎして、まったく新しい「フランケンシュタイン」のようなIDを作り出しているのです。

サイバー犯罪者はこのように合成されたIDを使って、クレジットカードや自動車ローンの申請をしたり、さまざまなタイプのクレジットファシリティにアクセスしたりします。このような「申請者」は、まずは信用プロフィールの不備によって銀行や金融機関から拒否されるでしょう。

しかし、多数の申請が行われる目的は、信用調査所の間で仮のプロフィールの存在を認めさせることです。サイバー犯罪者はこれを足掛かりにして、信用を確立していくのです。問題は、このような詐欺計画では、実際の消費者が被害を受けて金融機関や財政当局に通報するということがないため、何年も検知されないままになる傾向があるのが現状です。

昔と比べて今は、データがオンライン上で不法に売買されやすくなっているため、合成IDによる詐欺の横行に拍車をかけているともいえます。2017年のArmor Threat Resistance Unitによる調査では、ダークウェブで個人データが10米ドル以上で取引され、中には800米ドルにまでなりうることが明らかになりました。

合成IDをでっちあげるには、時間もかかるうえに忍耐力や細部におよぶ注意力も必要ですが、ローン返済の不履行による清算や踏み倒し、あるいは爆買いをするといったん決めたら、サイバー犯罪者にとってはその見返りは莫大で、端から返済するつもりのない多額の負債が一気に積み上がります。

金融機関がある特定のアカウントが合成ID計画の一部であると気づくのは、金融履歴のクリーンな「良い顧客」があるとき突然に支払いをストップした時であることが多く、そうなってしまったらもう、どんな手を使おうと損失金を取り戻すには遅すぎるのです。

合成IDは、さらに複雑かつ精巧な詐欺計画にも使われる可能性があります。その一例として、詐欺組織がこれらのIDを使って銀行に新しく口座を作り、騙し取った現金をそこへ流し込んでマネーロンダリングを行い、さらなる犯罪や金融テロの資金とする場合があります。

このようなことは犯罪映画やスパイ映画で目にするくらいだと思われるかもしれませんが、現実に他ならないということです。企業による合成ID詐欺への対策には、世界中で数十億ドルも掛けられているのです。　　

相手のルールでフランケンシュタインと闘う

マイクロソフトが主導したフロスト&サリバンの調査では、アジア太平洋地域におけるサイバーセキュリティ事象による経済損失見込みがなんと1兆7450億米ドルにも上り、これは当該地域の総GDPである24兆3000億米ドルの7%以上になることが明らかになりました。

近年、シンガポールで発生し、史上最悪のサイバー攻撃として知られる150万人分の患者の診療記録がハッカーによって盗まれるというケースでは、シンガポール首相を含む16万人の外来処方箋記録が盗まれました。

そのわずか数週間後、香港の保健省も攻撃を受け、3台のコンピュータがランサムウェアに感染し、そのコンピュータのデータにアクセスできなくなりました。これらアジア太平洋地域での事例から分かったことは、IDデータに関しては誰もが被害に遭う可能性があるということです。

では、これほど悪意ある敵に立ち向かうために何ができるのか?

消費者の行動は、デジタル化が私たちの生活に浸透するに相俟って、ますます複雑で多様化し、さまざまなルートやデバイス、ロケーションから取引を行うようになってきています。

合成IDを検知するための鍵となるのは、オンライン/オフラインに関わらず、個人が日常生活を送る上で生みだす多様な情報の断片を、分析する能力を持つことです。

企業が合成IDの出現とその取引を見分けるためには、顧客のIDに関して可能な限り最新のデータを―物理的にもデジタル的にも―手に入れる必要があります。

企業は、消費者のIDがどのように発生し、取引を行うかを示すパターンを認識、異質な情報の断片同士のつながりを理解する能力が必要となります。マウスのクリックやキーストロークによる生体認証も、さらなる調査が必要かどうかの指標になるもうひと手間を提供することでしょう。

企業は、ビジネスルールと行動分析、機械学習を組み合わせることで、組織がリアルタイムで決定を下し、アジリティを高め、刻々と変化する不正の手法やユーザー動向にダイナミックに適応するのに役立つ、総合的なフレームワークを構築することが可能となります。

そうすることで企業は、顧客がすべてのデジタルデバイスやチャネルを通じて一貫して何を展開したいかを前提に、リスクと運用基準に対する耐性を取り入れることができるようになります。

常に油断をせず、適正なツールを利用する

不正行為はもはや固定したものではなく、変化し続けるものになっています。彼らは手を変え、品を変えて向かってきます。デジタル世界において、対面による意思疎通によってある特定の人物の存在を確認するとは、もはや確実性に乏しく、現実的ではありません。

最近の情勢から学べることがあるとすれば、不正のたくらみの一歩先を行くことは、もはや任意ではなく、企業や商売人に必須であるということです。原因となるものに油断なく目を光らせ、合成IDを正確に検知してブロックできることが肝心です。

それには、過去およびリアルタイムのデータを結びつけ、機械学習を活用して、いくつものチャネルでの個々の動向を分析することでしか、組織が現実の顧客と軋轢を生むことなく合成IDを検知し、ブロックするために必要となる複雑なパターンを識別することはできないのです。