This is the Trace Id: eaaab59dd3d733b8684174cc6087799d
メイン コンテンツへスキップ
Dynamics 365

アカウント乗っ取りとは?

1 人の人が日の当たるオフィス内で立ったまま、タブレットを持ちながら見ています。

アカウント乗っ取り (ATO) とはオンラインなりすましの一形態です。これは被害者のオンライン アカウントに第三者が不正にアクセスして、アカウント情報の変更、購入、盗難情報を利用した別アカウントへのアクセスを行い、利益を得ることで発生します。

 

企業と消費者の両方にとって ATO は最も重大なサイバーセキュリティ脅威の 1 つであり、2018 年の推定被害額は 40 億米ドルに達します。

Dynamics 365 を活用して詐欺を防止する

AI を活用してより多くの詐欺を検出し、売上への影響を軽減するためのクラウド ソリューション、Dynamics 365 Fraud Protection で、顧客のアカウントを乗っ取り被害などから保護しましょう。
デモを依頼する

アカウント乗っ取りの種類を把握する

 

近年では、銀行、e コマース、旅行、保険、小売などの業界を標的にした ATO の犯行が増加しています。これらは通常、一般的な ATO 詐欺のうち、次の 4 種類のシナリオに該当します。

 

  1. 資格情報クラッキング: これは被害者のユーザー名やメールに、悪意のあるアクターがアクセスすることで発生します。これらの奪取がとても容易なのは、多くの人がしばしば複数の場所で同じメール アドレスを使用し、さらに複数の Web サイトで同じユーザー名を使用するためです。これらにアクセスするために、悪意のあるハッカーは一般的に使用されるパスワードや単純なフレーズの組み合わせをボットで自動的に試行して、アクセス権を奪取します。
  2. 資格情報スタッフィング: この手口は、現在増加している、最も一般的な攻撃の 1 つです。このシナリオでは、悪意のあるアクターが大量に盗み出したユーザー名とパスワードを利用して、アクセス権を奪取します。そして、ボット攻撃を使用して盗み出した資格情報を試すプロセスを自動化し、こうした資格情報を複数のウェブサイトに “詰め込み“ ます。多くの人がさまざまなサイトで同じユーザー名とパスワードを使用しているため、これが成功することも少なくありません。犯罪者がアクセス権を奪取すると、購入、ロイヤルティ ポイントの使用、その他のアカウントへの送金を行います。
  3. パスワード スプレー: 既知のユーザー名とパスワードに影響を及ぼす資格情報のクラッキングやスタッフィングとは異なり、この手口では未知のユーザーを標的にして一般的な ATO 防止策を出し抜きます。つまり、悪意のあるアクターは標的にする Web サイトを選択し、ボット攻撃を使用して “password123” や “123456” といった単純で知れ渡ったユーザー名で何度もログインを試みます。この方法では通常 3〜5 回ログインに失敗するとアカウントのロックがトリガーされるため、ログインに失敗した場合は別のアカウント名で再試行します。
  4. SIM 入れ替え攻撃: これは、悪意のあるハッカーがソーシャル エンジニアリングの手法を使用し、正当なサービスを悪用してユーザーの SIM カードを入れ替えた場合に発生します。ハッカーは被害者の電話を乗っ取り、認証コードを傍受することで不正取引の検証を突破します。

 

ATO 攻撃の発生を示唆する一般的な危険サインには、次のようなものがあります。

 

  • ログイン試行で見られる異常なスパイク。
  • ログイン失敗回数の増加。
  • アカウント ロックのスパイク。
  • 正当な組織を装って送信された詐欺メールや SMS メッセージに関するレポート。
  • 不正な資金移動について苦情を申し立てる顧客。
  • TCP と HTTP の一致しない署名。

アカウントの乗っ取りを引き起こす一般的な手口

 

悪意のあるアクターは、さまざまな手口を利用してアカウントを乗っ取り、必要な情報を盗み出します。これらには、次のようなものがあります。

 

  1. フィッシング: この手口の犯罪者は通常、偽物の緊急事態を演出し、ユーザーがメールの開封やクリックを行うように仕向けます。そして金融機関の実際の Web サイトに酷似した偽サイトにリダイレクトし、そこで口座の資格情報を盗み出します。
  2. マルウェア: これは一般的かつ検出が難しい手口です。マルウェアとは、悪意のあるアクターが被害者のコンピューターにインストールした悪意のあるソフトウェアで、キーボード操作のログや詐欺サイトへのリダイレクトによってユーザー情報を奪取します。
  3. 中間者攻撃: これは、被害者が金融機関に連絡する際に、悪意のあるハッカーが間に入り込むことで発生します。この犯罪者は不正なアクセス ポイントで顧客のデータを傍受し、アカウントのアクセス権を奪取します。セキュリティ対策を適切に講じていない場合、特にモバイル バンキング アプリがこの種の攻撃に対して脆弱になる可能性があります。

アカウントの乗っ取りが組織に及ぼす影響

 

特定の業界ばかりがアカウント乗っ取り攻撃の標的にされるのは、ユーザー アカウントやメンバーシップ システムを運用する企業が脆弱だからです。

 

これらは組織に甚大な被害を及ぼすサイバー脅威の 1 つに過ぎません。そして、ATO 防止対策をとらない場合、こうした攻撃によって売上を損なうだけでなく、信用も傷つきます。つまり、顧客の信頼を失う危険性があります。

アカウント乗っ取り詐欺を防止する方法

 

世界はますますモバイル化していますが、幸いなことに組織は予防策を講じることで、アカウント乗っ取り詐欺のリスクを軽減できます。

 

アカウント乗っ取りに起因するインシデントを軽減するために、組織は次のような詐欺防止戦略を実装すべきです。

 

  • ボット検出ソリューションを実装し、技術データと操作データを分析することで訪問者の行動を識別する。
  • すべてのアカウントに多要素認証 (MFA) オプションを導入する。
  • 自分の組織を標的にしたサイバー犯罪の温床となる活動を監視する。
  • すべてのオンライン アカウントに強力な固有のパスワードを設定させるために、パスワード マネージャーの使用を顧客に促す。

Fraud Protection の概要

 

組織が導入するアカウント乗っ取りの検出と防止を担うプラットフォームは、ますます巧妙化するビジネスを標的にしたサイバー攻撃に対応し続ける必要があります。さらに、購入、アカウント、 損失防止に関しては、不正の検出能力を高め、カスタマー エクスペリエンスを改善するために、ATO テクノロジが不可欠です。

 

これを念頭に置くと、ATO の保護オプションを評価する際には、次の機能を搭載する製品に注目すべきです。

 

  • 適応力を備えた AI テクノロジ
  • ボットからの保護
  • アカウントのサインイン保護
  • ビジネス インテリジェンス レポート
  • 強化された損失防止システム

 

Microsoft Dynamics 365 Fraud Protection により、オンライン小売業者はカスタマイズできるルールを活用して、取引の診断、ボット トラフィックの検出、詐欺の危険性評価を実施し、ビジネスを保護して、オンライン取引の判断に関する推奨事項を利用できるようになります。
詳細情報

お問い合わせ

営業担当者とチャット

営業時間: 月曜日 - 金曜日、午前 9:00 - 午後 5:30。 
チャットを開始する

マイクロソフトからの連絡をリクエストする

Dynamics 365 の営業担当者からご連絡を差し上げます。
リクエストの送信

電話による営業担当者へのお問い合わせ

営業時間: 月曜日 - 金曜日、午前 9:00 - 午後 5:30。 
 0120 54 2244 に電話する

Dynamics 365 をフォロー