【サイバー犯罪報告書】デジタルビジネスへの攻撃件数7億件に


デジタル・アイデンティティ企業であるThreatMetrixは、ThreatMetrix「サイバー犯罪報告書2017:2017年の振り返り」において、2017年はサイバー犯罪との闘いにおいて過去最高を記録したことを明らかにしました。
グローバルネットワーク全域にわたり、1日あたり1億件の取引を分析し、現実のサイバー攻撃の現状をレポートする本報告書では、過去2年間で攻撃総数が100%上昇したことが確認されました。しかし、革新的でデジタルファーストな戦略に投資した企業・組織の取り組みによって、消費者がダウンストリーム攻撃による大規模なデータ漏洩から防御・保護されたことは朗報と言えます。
昨今、サイバー犯罪者たちは、盗んだクレジットカードをすぐに使用することはありません。彼らは盗んだIDに関連するデータを利用して、長期にわたり利益を生む攻撃に切り替えています。このことは、アカウント作成というもっとも脆弱なアクティビティへの攻撃率が増加していることが物語っています。2017年に開設された新たなアカウントの実に9件に1件以上が不正なものでした。
ThreatMetrixの「サイバー犯罪報告書2017」のデータは、小売販売サイトのなかにはボットによるアクティビティがトラフィックの最大90%におよぶことを明らかにしいます。直接の被害を受けていない消費者でも、正式のアクティビティを偽物と区別するために、厳重な本人確認作業を強いられているのです。

情報漏洩の直後に消費者は標的に

2017年、サイバー攻撃はかつてないほど急激に上昇しました。数千もの企業・組織全体から得た情報によると、このような急上昇は深刻なデータ漏洩と連動していますが、その多くは大きく報道される前に起きています。例えば、ThreatMetrixDigitalIdentityNetwork®は、Equifaxが大規模な情報漏洩が発生した直後に、前例のない不正挙動の急上昇を検知しました。
どんな企業・組織でも、セキュリティ侵害の標的になります。流出したデータが不正に使われてしまうのを阻止するには、あらゆるWebサイトやアプリケーションにわたってダウンストリーム保護のための投資が必要といえます。
ThreatMetrix、製品マーケティングおよび戦略担当バイスプレジデント、ヴァニタ・パンデイは次のようにコメントしています。「攻撃が増加してくれば、身元情報や金融の認証情報が流出した個人を含めた消費者を守るための高度な技術への投資もまた必要性を増してきます。真のデジタル・アイデンティティをもとにした取引を分析することが、正規ユーザーとサイバー犯罪者を即時に識別するのにもっとも効果的な方法です。私たちは自分のアイデンティティ情報の痕跡をいろいろなところに残しています。消費者と端末、アカウント、場所、アドレスなど、人々が関わるビジネス全体で刻々と変化するそれらの関係性を関連付けすることで、個人による適正な行動が明らかになるのです」

消費者行動の変化とサイバー犯罪傾向の転換は密接に関連

消費者行動の傾向が、ますます複雑化するサイバー犯罪の攻撃パターンに影響を与えました。
「ThreatMetrixサイバー犯罪報告書2017」で特定されたそれぞれの例には次のようなものがあります。
・モバイルでの取引量が83パーセント近くも増加
2017年、モバイルからの取引が初めてデスクトップからの取引を追いこし、消費者はマルチデバイスでの取引を開始。
・アカウントの乗っ取り攻撃が170%増加
今では10秒に1件発生
・不正な新規アカウントは2015~2017年の間に8300万件申請
サイバー犯罪者たちは、漏洩やダークサイトから得たアイデンティティデータをつぎはぎして完璧なアイデンティティを構築し、新しいアカウントを作成。
・過去2年間で、不正な支払いは100%増加
サイバー犯罪者たちは盗んだクレジットカードを使い、あるいは被害者の銀行口座に侵入して、新たな受取人に送金。
・車の相乗りやギフトカードのトレーディングサイトなどの新興産業は不正の標的に
サイバー犯罪は新しいプラットフォームを悪用する傾向
・ハッカーたちはさらに狡猾に
ハッカーたちは、個人に検出されるのを困難にするために努力を重ねていることが「サイバー犯罪報告書2017」で確認された。
例えば、ソーシャルエンジニアリングでは、消費者に不正が行われたと思いこませ、「自分のアカウントを安全にするために」実際には詐欺師たちにアクセス情報を提供するように誘導
パンデイは次のようにも言っています。「攻撃の数と複雑さが日々加速するため、企業は消費者と犯罪者とリアルタイムできっちりと識別する必要があります。しかし、それによる正規ユーザーの取引スピードを落としたり、正規ユーザーへの度重なる本人確認による作業負荷を避けなければなりません。統計データの向こう側を見透かし、人々のオンライン取引でのアクションという動的で複雑な行動を掘り下げていくことで、企業は自信をもってデジタルビジネスを成長させていけるのです」
★参考:サイバー犯罪報告書2017のダウンロード(英語)
★参考:ThreatMetrix