不正アクセス検知とは

クレジットカードの盗難から投資詐欺、アカウント乗っ取り、マネーロンダリングまで、不正アクセスは広範囲にわたる問題です。公認不正検査士協会（ACFE）の推計によると、米国企業が不正アクセスによって被る損失は、平均で年間総収益の5%です。¹連邦取引委員会（FTC）は、米国の消費者が2023年に不正アクセス者から100億米ドル以上をだまし取られたことを明らかにしました。²

不正アクセスは個人にも経済にも大きな影響を与えるため、不正アクセス検知はトランザクション集約型の業種（Eコマース、銀行、保険、官公庁・自治体、医療など）で不可欠な機能とされています。

不正アクセス検知は、それがない場合に企業が直面するコストと結果からしても重要です。不正なアクティビティがあると、経済的損失に加えて、風評被害、事業中断、生産性損失が引き起こされることがあります。不正アクセス防止策を講じていないと、マイナスの顧客体験が企業へのロイヤルティーに影響し離職につながる、というリスクもあります。

ビジネス上のメリットがあるというよりは、不正アクセス検知が法律で義務付けられている場合もあります。保険会社や金融機関などには、不正アクセスの検知と防止に関する規制上の義務が立ちはだかります。この義務を怠ると罰則や罰金が科せられることもあります。たとえば、コロナ禍でのことですが、米国の連邦規制当局は、不正アクセス検知システムに欠陥があるとして、Bank of Americaに2億2,500万米ドルの罰金を科しました。³

より広範な文脈のサイバーセキュリティー計画では、不正アクセス検知をサイバー犯罪を防ぐための重要な部分とすることが多いです。

多くの組織には、不正アクセス防止専門のチームがあります。そのチームは多くの場合、不正アクセス検知システムを導入する前に、リスク管理アセスメントを実施します。このアセスメントは、企業のどの職域がどのタイプの不正アクセスの標的となりうるかを判断する助けとなります。

不正アクセス防止チームは、不正リスクごとにリスクスコアを付けて、どれが最も大きな脅威となり優先されるべきかを判断します。リスクスコアは通常、ある脅威が発生する確率と、その脅威がどの程度の損害を与えうるかを測定するものです。

続いて同チームは、不正アクセスによる脅威に対処するために使用する不正アクセス防止策と不正アクセス検知ソリューションを、そのタイプと重大度に基づいて評価します。不正アクセス検知で最も一般的な技術は、トランザクション監視、統計データ分析、人工知能などです。

多くの企業にとって潜在的な不正アクセスを探すところとして最もわかりやすいのは、金融トランザクションです。トランザクション監視ツールは、不正アクセス検知のプロセスを自動化するものです。トランザクションデータワークフローをリアルタイムで監視し分析するのです。こうしたツールで本人確認やアカウント認証を実行すれば、不正なトランザクションを未然に防ぐことができます。

トランザクション監視ツールでは、異常検知によって、さらなる調査を要する異常なパターンや振る舞いが発見される場合もあります。購入頻度、トランザクション数、ユーザーの地理的位置、トランザクションの金銭的価値といった変数は、通常のアクティビティと不正アクセスかも知れない振る舞いとを区別するのに役立ちます。

不正アクセス検知は必ずしもリアルタイムで行われるわけではありません。不正アクセスは、統計データ分析で履歴データを監査することによって、行われてからずっと後に発見されることがあります。

不正アクセス調査担当者は、データ・マイニング、回帰分析、データ分析などの技術を使用して、不正アクセスのパターンを大規模なデータセットで特定して分離します。確率分布とデータ・マッチングは、不正アクセスがすでに発生したか将来発生する可能性がある箇所とタイミングを調査担当者が判断するための助けとなります。

調査担当者は、チャートやグラフなど可視化したものに不正アクセスのメトリックとデータ・ポイントを追加して、技術に詳しくないユーザーでも組織全体の不正アクセスの脅威が把握できるよう支援します。

多くの組織では今や、不正アクセス検知機能を加速し改善するのに人工知能と機械学習を利用しています。

機械学習モデルの一種であるニューラルネットワークでは、トランザクションの監視、データの分析、不正な振る舞いの検知（または予測）が、従来の不正アクセス検知技術よりも迅速かつ効率的に行えます。

加えて、機械学習アルゴリズムでは、新しいデータから次々と学習されるので、進化するばかりの不正アクセスの傾向も取りこぼすことなく把握できます。ある調査によると、こうしたテクノロジーを不正アクセス対策に利用する組織の数は2026年までに3倍近くなると推定されています。⁴

クレジットカード詐欺： 不正アクセス検知で最もよくあるユースケースのひとつ。クレジットカード詐欺が発生するのは、権限のないユーザーが他人のクレジットカード情報を入手し、その情報を利用して商品やサービスを購入したか資金を引き出したときです。多くの場合、正規のカード利用者が盗難に気付き、チャージバックを発行してもらいます。加盟店は商品やサービスも購入費用も失い、また発行銀行からチャージバック手数料が課されることもあります。

アカウント乗っ取り：このタイプの不正アクセスは、個人情報の盗難やハッキングの結果、あるいはフィッシングメールに引っかかった人がいることによるものです。ユーザー・アカウントのログイン認証情報を取得した犯人は、そのアカウントを利用して不正なトランザクションを行います。標的は、銀行口座、オンラインショップ、決済代行会社、行政サービス、オンラインギャンブルサイトなどです。

支払い詐欺：盗んだか偽造した支払い情報を利用して行われた不正トランザクションの総称。不正アクセス者は支払い詐欺を働くのに、偽の小切手、乗っ取ったEFT、盗んだクレジットカード情報、偽のユーザー・アカウントを利用することがあります。

マネーロンダリング：マネーロンダリングとは、違法に入手した資金を「洗浄」し、資金をさかのぼっても犯罪の出所が分からないようにして、合法的な目的に利用できるようにするという一連の行為です。不正アクセス者はしばしば、不正なトランザクションで盗んだ金銭を隠蔽するのに、マネーロンダリングを利用します。

内部不正アクセス：組織内にいて、そこのITシステム、プロセス、データ、セキュリティー・プロトコルに慣れている者は誰でも、内部脅威になりえます。従業員、請負業者、ビジネス・パートナー、ベンダーが、金銭的利益や知的財産窃盗を目的として内部不正アクセスを働くかもしれないのです。

不正アクセス者は、生成AIツールから、不正アクセス検知ソフトウェアや不正アクセス調査担当者を欺くよう信ぴょう性を持たせたコンテンツを得ることがあります。犯人は生成AIを利用して、ビジネス文書、電子メール、ボイスメール、動画、アカウント・アプリケーション、テキストその他のコンテンツを合法的に見せかけるわけです。

生成AIによる不正アクセスが拡大する中、組織はこの脅威から身を守るための新たなストラテジーを策定する必要があります。

不正アクセス検知システムで誤検知が過剰に生成されると、ビジネスに悪影響が出ることがあります。合法的な顧客でも、不正アクセスの可能性があるとのフラグを立てられると、他の企業に乗り換えるかもしれません。

誤検知により、通常の業務が遅れ、不正アクセス調査のコストが増大し、リソースに制限がかかることがあります。不正アクセス管理のツールやプロセスを最適化して脆弱性に対処するにあたって、生産性や収益に影響しないようにするには、多くの課題が伴います。

不正アクセス者は、不正アクセス検知システムがどれほど洗練されていても打ち負かそうと、常に自分のミスに学んで手法を作り変えます。高度なスキルを持つハッカーをリクルートする多国籍犯罪組織から、不正アクセスグループが資金提供を受けている、というケースもあります。

2024年、中国を拠点とする詐欺団BogusBazaarが75,000の不正な電子商取引Webサイトを作って取り付けた偽の注文は、およそ5,000万米ドルでした。また、この不正アクセス者は、クレジットカード情報850,000名分以上を盗みました。⁵

不正アクセス検知が効果を発揮するには、進化する一方の不正アクセス戦術や脅威アクターに対応し続ける能力が要求されます。

組織が顧客から個人情報（PII）を収集すると、そのデータは、不正アクセスに利用しようとするサイバー犯罪者の標的にされる可能性があります。

それと同時に、データ・プライバシー法により、そのデータへのアクセスには一定の制限が課されます。こうした義務により、その個人データを使用しないと不正な振る舞いを検知できないという組織は、不利な立場に立たされることもあります。