クレジット・カード大手のビザ(Visa)は、列挙攻撃への対策を強化している。ベンチャービート誌によると、ハッカーらはさまざまの自動化技術を悪用してクレジット・カード詐欺を拡大している。ビザの調べによると、2023年の被害金額は11億ドルに達した。
▽高速自動化技術によって不正検出前に決済完了
「列挙攻撃(enumeration attacks)は毎年急速に増えている。ここ数年で商業がデジタル化し、さらに多くの店舗がオンラインになった」「そのため、その種の攻撃をしかけるエントリー・ポイントが増えており、今後も増え続けるだろう」とビザのマイケル・ジャブバラ上席副社長は話す。
列挙攻撃(利用者名列挙攻撃またはアカウント・リスト攻撃)という手口は、アカウント番号やカードのセキュリティー・コード(card verification values=CVV2)、有効期限、郵便番号を含む固有の組み合わせを、攻撃者が数秒以内に大量に送信して、正しい組み合わせを突き止める。さまざまの最新自動化技術を使って非常に高速に行われるため、旧型防御システムでは検出前に不正決済が行われる。
ビザによると、列挙されたアカウント群の33%は、ハッカーらが支払い情報を入手した5日以内に不正決済に使われていたことが判明した。特に、自動生成の推測が正しいことを示すユーザー・フィードバック機能を使うシステムがねらわれやすいという。
▽最新技術や社会工学を併用
攻撃者らは手口をつねに改良し、検出されにくい最新の自動技術を積極的に取り入れている。不正目的のためにカスタマイズした生成人工知能や大規模言語モデルを、既存のボットネットやスクリプトといった技術を組み合わせることがハッカーらの手法だ。
「攻撃者らの洗練度は毎年高まっている。生成人工知能を真っ先に活用して品質と規模を高め、大小さまざまの会社や団体、組織を攻撃している」と、ID認証技術を提供するテレサイン(Telesign)のクリストフ・ファンドヴァイヤーCEOは話す。
「また、ハッカーらは社会工学(social engineering)にも長けており、標的会社の従業員になりすまして会社のITデスクに電話し、オンラインで集めた情報を使って認証語と多要素認証の端末のリセットを依頼している」。
▽キャプチャや暗号化、多要素認証の導入を推奨
ビザでは、イーコマース・プラットフォームにある脆弱性を悪用することで列挙攻撃がしばしば成功していることを発見した。特に、レート制限や確認過程が不十分なプラットフォームはリスクが高いという。
同社は、それらの調査結果にもとづいて、オンライン決済を使う事業主らに対し、最低でもキャプチャ(CAPTCHA)を導入して、異常な活動を監視し、暗号化と多要素認証を使って攻撃のリスクを低減することを推奨している。
最近ではオンライン銀行やイーコマース、事業主向けのプラットフォームでも厳しいレート制限を採用したものが増えている。目標は、ハッカーらが認証を試みる回数を制限し、また一定の時間内に回復機能を使える回数も制限することだ。
▽カードの物理的な提示を必要としない取り引きが危険
列挙攻撃はごく短期に急速に成熟したため、最近ではハッカーらが大規模の商業決済エコシステム内でデジタル決済システムの脆弱性を積極的に悪用するようになった、とビザは最近の調査報告書で警告した。
ハッカーらは、マルウェアに感染した端末の大規模接続網を悪用して、カードの物理的な提示を必要としない(card-not-present=CNP)決済に代表されるもっとも脆弱な取り引きを見つけているという。
▽生成人工知能を活用したリスク評価機能を導入
ビザは、さまざまの手口による不正決済への対策として、「ビザ・アカウント・アタック・インテリジェンス(Visa Account Attack Intelligence=VAAI)」を2019年に導入した。最近では、CNP取り引きを特定することがVAAIのおもな焦点だ。
同社はさらに、生成人工知能を活用したVAAIスコアという新機能も導入した。列挙攻撃を点数化するためのVAAIスコアは、すべての決済についてリアルタイムでリスク評価(点数化)することで検出力を高める。
カード発行会社らはそれによって、カード決済を承認すべきか却下すべきかをいままで以上にすばやく正確に判断できるようになる、とビザは説明した。
▽20ミリ秒以内に182項目のリスク特性を分析
ジャブバラ氏によると、VAAIスコアは生成人工知能に理想的な用途だとビザは考えている。
同対策では、決済が処理されてから20ミリ秒以内に182項目のリスク特性を分析してリスク評価が行われる。150億件以上の独自の決済データを使ってビザが開発したVAAIスコアには、従来モデルの6倍の特性が含まれている。そのため、疑わしい取り引きの検出能力が大幅に向上したと同時に、間違って疑わしいと判断される確率も85%削減された。
ビザは、機械学習やその関連技術に総額100億ドル以上を投資してきた。VAAIとその関連ツール群への投資の成果として、年間400億ドルの不正決済を防止できている、と同社は述べた。
(Gaean International Strategies, llc社提供)
この記事が気に入りましたか?
US FrontLineは毎日アメリカの最新情報を日本語でお届けします
最近のニュース速報
-
2024年7月22日 アメリカ発ニュース, ハイテク情報, 米国ビジネス
ビザ、生成人工知能による不正防止技術を新たに導入 〜 総額100億ドルの投資で年間400億ドルの防止効果
-
ジョー・バイデン大統領、出馬を断念 〜 身内や主要献金業界からの説得についに応じる
-
2024年7月18日 アメリカ発ニュース, 世界のニュース, 米国ビジネス
マレーシア、アジアのデータ・センター拠点として台頭 〜 クラウドと人工知能による需要増で米国からの投資を呼び込む
-
2024年7月17日 アメリカ発ニュース, ハイテク情報, 米国ビジネス
AT&Tのデータ侵害、スノーフレイクの巻き添えに 〜 2.4億人の携帯電話顧客と仮想通信網顧客会社が被害に
-
2024年7月16日 アメリカ発ニュース
米技術業界重鎮ら、トランプ氏の激励をあいついで表明 〜 暗殺未遂速報を受けて続々と投稿
-
ターゲットとショッピファイが提携 〜 ターゲットのオンラインいちばに中小の小売業者らが出店可能に
-
人工知能銘柄が今後10年の株式市場を動かす 〜 シスコの元CEOのベンチャー・キャピタリストが予想
-
2024年7月8日 アメリカ発ニュース, ハイテク情報, 米国ビジネス
スマート包帯の研究&開発が前進 〜 傷口の状態を遠隔追跡、包帯から投薬や電気刺激を可能に
-
飲食店で印刷メニューが復活~QRコード不評で
-
2024年7月1日 アメリカ発ニュース, 世界のニュース, 環境ビジネス, 米国ビジネス
ウェザーXM、ウェブ3とIoTで気象データに革新 〜 動く気象観測所群の分散型連携網を構築