クレジット・カード大手のビザ(Visa)は、列挙攻撃への対策を強化している。ベンチャービート誌によると、ハッカーらはさまざまの自動化技術を悪用してクレジット・カード詐欺を拡大している。ビザの調べによると、2023年の被害金額は11億ドルに達した。
▽高速自動化技術によって不正検出前に決済完了
「列挙攻撃(enumeration attacks)は毎年急速に増えている。ここ数年で商業がデジタル化し、さらに多くの店舗がオンラインになった」「そのため、その種の攻撃をしかけるエントリー・ポイントが増えており、今後も増え続けるだろう」とビザのマイケル・ジャブバラ上席副社長は話す。
列挙攻撃(利用者名列挙攻撃またはアカウント・リスト攻撃)という手口は、アカウント番号やカードのセキュリティー・コード(card verification values=CVV2)、有効期限、郵便番号を含む固有の組み合わせを、攻撃者が数秒以内に大量に送信して、正しい組み合わせを突き止める。さまざまの最新自動化技術を使って非常に高速に行われるため、旧型防御システムでは検出前に不正決済が行われる。
ビザによると、列挙されたアカウント群の33%は、ハッカーらが支払い情報を入手した5日以内に不正決済に使われていたことが判明した。特に、自動生成の推測が正しいことを示すユーザー・フィードバック機能を使うシステムがねらわれやすいという。
▽最新技術や社会工学を併用
攻撃者らは手口をつねに改良し、検出されにくい最新の自動技術を積極的に取り入れている。不正目的のためにカスタマイズした生成人工知能や大規模言語モデルを、既存のボットネットやスクリプトといった技術を組み合わせることがハッカーらの手法だ。
「攻撃者らの洗練度は毎年高まっている。生成人工知能を真っ先に活用して品質と規模を高め、大小さまざまの会社や団体、組織を攻撃している」と、ID認証技術を提供するテレサイン(Telesign)のクリストフ・ファンドヴァイヤーCEOは話す。
「また、ハッカーらは社会工学(social engineering)にも長けており、標的会社の従業員になりすまして会社のITデスクに電話し、オンラインで集めた情報を使って認証語と多要素認証の端末のリセットを依頼している」。
▽キャプチャや暗号化、多要素認証の導入を推奨
ビザでは、イーコマース・プラットフォームにある脆弱性を悪用することで列挙攻撃がしばしば成功していることを発見した。特に、レート制限や確認過程が不十分なプラットフォームはリスクが高いという。
同社は、それらの調査結果にもとづいて、オンライン決済を使う事業主らに対し、最低でもキャプチャ(CAPTCHA)を導入して、異常な活動を監視し、暗号化と多要素認証を使って攻撃のリスクを低減することを推奨している。
最近ではオンライン銀行やイーコマース、事業主向けのプラットフォームでも厳しいレート制限を採用したものが増えている。目標は、ハッカーらが認証を試みる回数を制限し、また一定の時間内に回復機能を使える回数も制限することだ。
▽カードの物理的な提示を必要としない取り引きが危険
列挙攻撃はごく短期に急速に成熟したため、最近ではハッカーらが大規模の商業決済エコシステム内でデジタル決済システムの脆弱性を積極的に悪用するようになった、とビザは最近の調査報告書で警告した。
ハッカーらは、マルウェアに感染した端末の大規模接続網を悪用して、カードの物理的な提示を必要としない(card-not-present=CNP)決済に代表されるもっとも脆弱な取り引きを見つけているという。
▽生成人工知能を活用したリスク評価機能を導入
ビザは、さまざまの手口による不正決済への対策として、「ビザ・アカウント・アタック・インテリジェンス(Visa Account Attack Intelligence=VAAI)」を2019年に導入した。最近では、CNP取り引きを特定することがVAAIのおもな焦点だ。
同社はさらに、生成人工知能を活用したVAAIスコアという新機能も導入した。列挙攻撃を点数化するためのVAAIスコアは、すべての決済についてリアルタイムでリスク評価(点数化)することで検出力を高める。
カード発行会社らはそれによって、カード決済を承認すべきか却下すべきかをいままで以上にすばやく正確に判断できるようになる、とビザは説明した。
▽20ミリ秒以内に182項目のリスク特性を分析
ジャブバラ氏によると、VAAIスコアは生成人工知能に理想的な用途だとビザは考えている。
同対策では、決済が処理されてから20ミリ秒以内に182項目のリスク特性を分析してリスク評価が行われる。150億件以上の独自の決済データを使ってビザが開発したVAAIスコアには、従来モデルの6倍の特性が含まれている。そのため、疑わしい取り引きの検出能力が大幅に向上したと同時に、間違って疑わしいと判断される確率も85%削減された。
ビザは、機械学習やその関連技術に総額100億ドル以上を投資してきた。VAAIとその関連ツール群への投資の成果として、年間400億ドルの不正決済を防止できている、と同社は述べた。
(Gaean International Strategies, llc社提供)
この記事が気に入りましたか?
US FrontLineは毎日アメリカの最新情報を日本語でお届けします
最近のニュース速報
-
ショッピファイ、人工知能代理人による買い物に向け準備 〜 中小のオンライン小売業者の競争力を強化
-
ウーバーに降りかかる無人タクシー市場成長の脅威 〜 投資家ら、ウェイモとテスラの一騎打ちになると予想
-
2026年4月6日 アメリカ発ニュース, ハイテク情報, 米国ビジネス
セールスフォースの人工知能代理人、3ヵ月で6000社の顧客を増やす 〜 人工知能バブル懸念浮上でも大幅に成長する4つの要因
-
2026年4月3日 アメリカ発ニュース, ハイテク情報, 米国ビジネス
オラクル、数千人規模の人員削減を実行へ 〜 人工知能支出増大の継続に向けた資金繰りの一環か
-
2026年4月3日 アメリカ発ニュース, ハイテク情報, 米国ビジネス
新興企業14.ai、「顧客サービスの代理店」として台頭か 〜 人工知能と人間の組み合わせでソフトウェアとサービスを提供
-
2026年4月2日 アメリカ発ニュース, ハイテク情報, 米国ビジネス
イラン、米軍に暗殺されるたびに「米国企業を1社破壊」と発表 〜 エヌビディアやアップル、マイクロソフトを含む18社が標的に
-
2026年4月1日 アメリカ発ニュース, ハイテク情報, 世界のニュース, 米国ビジネス
2025年のヒューマノイド・ロボット出荷台数、中国3社が全体の78%を占める 〜 米国勢は技術革新と機能性を優先
-
人工知能が食品安全性の文化に貢献 〜 業界団体のeHACCP.orgが調査報告で明示
-
2026年3月23日 アメリカ発ニュース, 米国ビジネス, 自動車関連
米国人のロボタクシー許容度は?~事故・違反増加で不信感も
-
2026年3月19日 アメリカ発ニュース, ハイテク情報, 世界のニュース, 米国ビジネス
米人工知能大手ら、インドへの大規模投資にあいついで合意 〜 インド、人工知能大国化を一気に加速
アクセスランキング
2023年4月3日 に投稿された
一度は見ておくべき アメリカの建築7選...
2022年9月25日 に投稿された
日本帰国後はややこしい? 〜2国間での確定申告(タ...
2026年3月19日 に投稿された
現地判断で編集権限を〜即応型報道を進める日経アメリ...
2018年2月2日 に投稿された
グリーンカード保持者も対象!
アメリカ徴兵登...
2026年3月25日 に投稿された
日本帰国後の老後人生の過ごし方...
2015年12月2日 に投稿された
ドジャース新監督は沖縄生まれ! デーブ・ロバーツ氏...
2023年7月9日 に投稿された
日本の住民票について ~住民票を残したまま海外居住...
2018年1月1日 に投稿された
一生に一度は泊まりたい
アメリカのホテル7...
2024年8月9日 に投稿された
日本の年金収入に関する税務申告手続きについて ~年...
2026年3月24日 に投稿された
期間限定「ダイナマイト・スイート&サワーチキン」、...
