開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2012/01/31

オンライン不正詐欺の検知に役立つ、リスクベース認証とは?

ベリサインFDSセミナー2011 レポート

リスクベース認証とは、振る舞い認証などとも呼ばれる詐欺検知の技術である。接続IPアドレス、場所、操作コマンドを分析することで正規のアクセスなのか不正アクセスなのかを検知する手法だ。パスワードやカードによる認証の欠点を補い、サービスの利便性を損なわずにセキュリティ強度を挙げる手法として注目されているが、頻発するオンラインでの不正アクセスに対して、どれほど有効なのだろうか。シグマクシスの笠松隆幸氏と、日本ベリサインの小林伸二氏の講演をレポートする。

フリーランスライター 中尾真二

フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

行動パターンで攻撃を検知する技術

photo
シグマクシス
プリンシパル
笠松隆幸氏
 リスクベース認証は、インターネットバンキングなどのオンライン取引で、アクセスパターンの違いから本人の通常の操作なのか、攻撃者による不正アクセスなのかを見極め、操作中に追加的な認証を行うという技術である。本人かそうでないかを見極めるポイントは、接続元のIPアドレス、位置情報、PC、ブラウザのバージョン、操作パターンなどであり、これらが通常と違うものだったり、異常なパターンを検出した場合に、攻撃の疑いありと判断する。

 検出には、各ユーザーの通常パターンの環境や操作などをログと比較するだけでなく、高度なプロファイングやノウハウが必要となる。先日行われた「ベリサインFDSセミナー2011 ~オンラインバンクで今年発生した金融犯罪の実情と対策~」において、講演を担当したシグマクシスのアソシエイトパートナー 笠松隆幸氏は、そのような分析の専門家であり、同社は行動分析や不正検知ソリューションのコンサルティングなどを手掛けている。


地方銀行で実際に起きた被害

 笠松氏はまず、地方銀行で起きた不正アクセスの事例を紹介。その手順は、まず攻撃者が標的に対して金融機関を装った偽造メールを送ることから始まる。メールに記されたリンク先は攻撃用の偽サイトであり、そこはIDやパスワードを入力させる画面が表示される。この時点で標的にされた被害者はスパイウェアに感染しており、入力されたアカウント情報(ID・パスワード)は攻撃者に知られてしまっている。続いて、その金融機関が利用している乱数表の画面が表示され、被害者のパターンを入力させる。これもスパイウェアによって攻撃者に送信される。

「ここまでは、フィッシング詐欺によくある手口といえますが、これまでのフィッシング詐欺と異なるのは、窃取した認証情報をもとに、攻撃者がなりすましで本物のサイトにログインし、不正に送金処理を行ったこと、さらにその現金を引き出すため『出し子』と呼ばれる人間が介在したことです」

 従来のフィッシングの場合、直接の攻撃者は盗んだIDやパスワード情報をそのまま利用するのではなく、第三者に転売したり、ボットなどのマルウエアを感染させるなどがほとんどで、この事例のように、なりすましと口座の直接の操作に密に結びついた攻撃はあまりなかった。また、出し子の存在など、オフラインで発生している「振り込め詐欺」のような手口と組み合わせている。

この記事の続き>>  オンライン取引の不正検出に
             なぜリスクベース認証が有効なのか

この続きは会員限定です

ここから先は「ビジネス+IT プレミアム会員」に登録の方(登録は無料)のみ、ご利用いただけます。

今すぐビジネス+IT会員にご登録ください。

すべて無料!ビジネスやITに役立つメリット満載!

  • 1

    インタビューから事例記事まで、ここでしか読めない1万本超の記事が無料で閲覧可能

  • 2

    導入事例資料や技術資料、デモ動画などを無料でダウンロード・閲覧可能

  • 3

    年間1,000本以上、会員限定のスペシャルセミナーにご招待

  • 4

    ビジネス+IT編集部が必読記事を、メールマガジンでお知らせ!

ID・アクセス・ログ管理 ジャンルのセミナー

ID・アクセス・ログ管理 ジャンルのトピックス

ID・アクセス・ログ管理 ジャンルのIT導入支援情報

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!