クレジット・カード大手のビザ（Visa）は、列挙攻撃への対策を強化している。ベンチャービート誌によると、ハッカーらはさまざまの自動化技術を悪用してクレジット・カード詐欺を拡大している。ビザの調べによると、2023年の被害金額は11億ドルに達した。

▽高速自動化技術によって不正検出前に決済完了

「列挙攻撃（enumeration attacks）は毎年急速に増えている。ここ数年で商業がデジタル化し、さらに多くの店舗がオンラインになった」「そのため、その種の攻撃をしかけるエントリー・ポイントが増えており、今後も増え続けるだろう」とビザのマイケル・ジャブバラ上席副社長は話す。

列挙攻撃（利用者名列挙攻撃またはアカウント・リスト攻撃）という手口は、アカウント番号やカードのセキュリティー・コード（card verification values＝CVV2）、有効期限、郵便番号を含む固有の組み合わせを、攻撃者が数秒以内に大量に送信して、正しい組み合わせを突き止める。さまざまの最新自動化技術を使って非常に高速に行われるため、旧型防御システムでは検出前に不正決済が行われる。

ビザによると、列挙されたアカウント群の33％は、ハッカーらが支払い情報を入手した５日以内に不正決済に使われていたことが判明した。特に、自動生成の推測が正しいことを示すユーザー・フィードバック機能を使うシステムがねらわれやすいという。

▽最新技術や社会工学を併用

攻撃者らは手口をつねに改良し、検出されにくい最新の自動技術を積極的に取り入れている。不正目的のためにカスタマイズした生成人工知能や大規模言語モデルを、既存のボットネットやスクリプトといった技術を組み合わせることがハッカーらの手法だ。

「攻撃者らの洗練度は毎年高まっている。生成人工知能を真っ先に活用して品質と規模を高め、大小さまざまの会社や団体、組織を攻撃している」と、ID認証技術を提供するテレサイン（Telesign）のクリストフ・ファンドヴァイヤーCEOは話す。

「また、ハッカーらは社会工学（social engineering）にも長けており、標的会社の従業員になりすまして会社のITデスクに電話し、オンラインで集めた情報を使って認証語と多要素認証の端末のリセットを依頼している」。

▽キャプチャや暗号化、多要素認証の導入を推奨

ビザでは、イーコマース・プラットフォームにある脆弱性を悪用することで列挙攻撃がしばしば成功していることを発見した。特に、レート制限や確認過程が不十分なプラットフォームはリスクが高いという。

同社は、それらの調査結果にもとづいて、オンライン決済を使う事業主らに対し、最低でもキャプチャ（CAPTCHA）を導入して、異常な活動を監視し、暗号化と多要素認証を使って攻撃のリスクを低減することを推奨している。

最近ではオンライン銀行やイーコマース、事業主向けのプラットフォームでも厳しいレート制限を採用したものが増えている。目標は、ハッカーらが認証を試みる回数を制限し、また一定の時間内に回復機能を使える回数も制限することだ。

▽カードの物理的な提示を必要としない取り引きが危険

列挙攻撃はごく短期に急速に成熟したため、最近ではハッカーらが大規模の商業決済エコシステム内でデジタル決済システムの脆弱性を積極的に悪用するようになった、とビザは最近の調査報告書で警告した。

ハッカーらは、マルウェアに感染した端末の大規模接続網を悪用して、カードの物理的な提示を必要としない（card-not-present＝CNP）決済に代表されるもっとも脆弱な取り引きを見つけているという。

▽生成人工知能を活用したリスク評価機能を導入

ビザは、さまざまの手口による不正決済への対策として、「ビザ・アカウント・アタック・インテリジェンス（Visa Account Attack Intelligence＝VAAI）」を2019年に導入した。最近では、CNP取り引きを特定することがVAAIのおもな焦点だ。

同社はさらに、生成人工知能を活用したVAAIスコアという新機能も導入した。列挙攻撃を点数化するためのVAAIスコアは、すべての決済についてリアルタイムでリスク評価（点数化）することで検出力を高める。

カード発行会社らはそれによって、カード決済を承認すべきか却下すべきかをいままで以上にすばやく正確に判断できるようになる、とビザは説明した。

▽20ミリ秒以内に182項目のリスク特性を分析

ジャブバラ氏によると、VAAIスコアは生成人工知能に理想的な用途だとビザは考えている。

同対策では、決済が処理されてから20ミリ秒以内に182項目のリスク特性を分析してリスク評価が行われる。150億件以上の独自の決済データを使ってビザが開発したVAAIスコアには、従来モデルの６倍の特性が含まれている。そのため、疑わしい取り引きの検出能力が大幅に向上したと同時に、間違って疑わしいと判断される確率も85％削減された。

ビザは、機械学習やその関連技術に総額100億ドル以上を投資してきた。VAAIとその関連ツール群への投資の成果として、年間400億ドルの不正決済を防止できている、と同社は述べた。

（Gaean International Strategies, llc社提供）