オンラインアカウントのセキュリティと詐欺防止を専門とするArkose Labsのレポートによると、2021年にはオンライン詐欺が前年比85%増と急増し、ほぼすべての業界がアカウント詐欺とサイバー攻撃の洪水に見舞われていることが明らかになった。
デジタルトランスフォーメーション、リモートワーク、メタバースは今注目の流行語であり、Arkose Labsの創設者兼CEOであるケビン・ゴシャルク氏は、これらの言葉によってオンライン攻撃対象領域が飛躍的に拡大し、抜け目のないサイバー犯罪者にとって攻撃対象としてより魅力的なものになっていると述べた。
「この新たな世界では、企業とあらゆるデジタルプラットフォームは、2022年に不正行為とセキュリティ対策の戦術を刷新し、進化させる必要があります。過去に有効だった方法はもはや通用せず、多くのタッチポイントを標的とする、常に進化する攻撃に適応する必要があります」とゴシャルク氏は述べています。
参照: クイック用語集: Metaverse (TechRepublic Premium)
Arkose Labsのレポートには、すぐに警戒すべき統計がいくつか記載されています。同社の推計によると、オンライントラフィック全体の21%が詐欺またはサイバー攻撃関連で、新規アカウント登録の4分の1が偽物、ログイン攻撃の80%がクレデンシャルスタッフィング攻撃によるものでした。旅行業界は特に大きな打撃を受けており、人々が旅行を再開したことで攻撃件数が12.5倍に増加しました。
Arkose Labs はレポートの大部分を 2021 年の主要な攻撃傾向 6 つに分類し、企業はこれらの攻撃だけでなく将来の未知の攻撃にも備える必要があると警告しています。
アカウントのセキュリティがさらに問題になる
多要素認証、パスワードの適切な管理、そして適切なセキュリティ習慣といった、謳い文句を実践していない人でも、アカウントセキュリティの重要性は誰もが理解しています。しかし、多くの人が気づいていないのは、私たちが直面しているアカウントセキュリティ問題の深刻さです。
報告書によると、2021年のログインの5件に1件はアカウント乗っ取りの試みであり、登録攻撃は2021年に2.5倍に増加し、ログインおよびサインアップページに対する攻撃は85%増加しました。
詐欺は人々を追いかける
「詐欺と消費者行動の間には直接的な関係がある」と報告書は述べている。企業がより強力な保護策を講じた後、2021年にゲームアカウントへの攻撃が3分の1に減少したことからも、このことが裏付けられている。また、COVID-19のパンデミックを受けて人々が旅行を始めるにつれ、多くの詐欺師が旅行ウェブサイトを攻撃対象としている可能性も示唆されている。
実際、旅行ウェブサイト上のトラフィック全体の 45% は、さらなる詐欺攻撃に使用するために顧客データを収集するスクレイピング攻撃で構成されていました。
攻撃は以前よりも不安定になっている
サイバー犯罪者がますます多様なツールにアクセスできるようになるにつれ、攻撃はより危険になっていると報告書は指摘している。これにより、攻撃者は標的をより強力に攻撃できるようになり、ホリデーシーズン中の攻撃率が通常の3倍に増加したことや、ソーシャルメディアアカウントの5つに1つが悪質なものであったという事実からもそれが明らかであり、犯罪者の攻撃範囲ははるかに広範になっている。
さらに、不安定さは、セキュリティチーム(およびソフトウェア)が探している典型的な攻撃パターンや兆候がますます信頼できないことを意味します。「これは特にクレデンシャルスタッフィング攻撃に当てはまり、この攻撃は不安定さの急上昇を引き起こす可能性があります。検出された最も激しい攻撃の中には、1週間あたり7,600万回を超えるクレデンシャルスタッフィング攻撃の試行があったものもあります」と報告書は述べています。
ボットはますます賢くなっている
報告書によると、2021年のすべての攻撃の86%は自動化されていた。これらのボットはますます賢くなっており、Arkose Labsは、最新のボットを検出するために以前の3倍のデータ分析が必要であり、その難易度は今後さらに高まると予想している。
メタバースが詐欺の標的に
Arkose Labsは、「マスター詐欺師」を「持続的な攻撃を構築し、資本を投資し、詐欺ファームを利用する能力を持つ者」と定義し、メタバース企業を標的にする可能性がはるかに高いと述べています。これらのマスター詐欺師は、マイクロトランザクション詐欺、公正な商取引の妨害、スパムなどを利用して目的を達成する傾向があると同社は述べています。
参照: Google Chrome: 知っておくべきセキュリティと UI のヒント(TechRepublic Premium)
メタバース企業もまた、格好の標的となっています。2021年には、他の企業と比較してボット攻撃が80%、人間による攻撃が40%増加しました。「攻撃者の執拗さやリスクの高さを考えると、メタバースに投資する企業は、仮想世界におけるデジタルIDを保護するために、ログイン、登録、プラットフォーム内アクションにおける信頼性と安全性を最優先に考える必要がある」と報告書は述べています。
アジアがロシアからトップの攻撃国に
以前はロシアが攻撃の発生源として最も一般的でしたが、2021年には変化が見られ、現在ではアジアがオンライン詐欺の発生源として最も多い地域となっています。ロシアの大部分がアジアにあることは事実ですが、Arkose Labsは特定の国を念頭に置いています。同社によると、現在、最も多くの詐欺攻撃が発生している国は中国です。
2022年の詐欺防止
Arkose Labs は、2022 年にオンライン詐欺と戦おうとしている企業に対して、次の 4 つの推奨事項を提示しています。
-
- これまで以上に人間になりすます能力に長けたボットの微妙な兆候を検出できる機械学習ソフトウェアを搭載した高度なボット検出ソフトウェアを導入します。
- レポートで「明らかに良いか悪いか分からないトラフィックの大きなグレーゾーン」と呼ばれる、疑わしい行動を検出できる多層的なユーザー行動分析を実装します。
- 市販のボット プログラムによって解決できるケースが増えているCAPTCHA などのログイン チャレンジ戦略はやめてください。
- 攻撃データを実用的な洞察に変換します。理想的には、セキュリティ チームと IT チームの作業を大幅に軽減し、わかりやすいレポートやデータ ダッシュボードに自動化するソフトウェアを使用します。
