【ニュースリリース】RSA Quarterly Fraud Report Vol.114

フィッシングという言葉が1996年に出現して以来、手口は進化し続けており、被害総額と被害者数は上昇の一途をたどっています。RSAは2003年よりオンライン犯罪対策サービス「RSA FraudAction」を提供しており(国内提供は2006年から)、トロイの木馬などマルウェア攻撃を検知し、フィッシングサイトを閉鎖しています。FraudActionの中核であるAFCC(Anti-Fraud Command Center:不正対策指令センター)は、今年で設立18年目を迎え、フロード・アナリストが24時間365日体制で数カ国語を駆使してマルウェア解析、犯罪手口の解明に従事しています。

本ニュースレターは、AFCCが定期的に公開しているインテリジェンスレポートからフィッシングやオンライン犯罪情報、統計情報をまとめたものです。犯罪者による金銭などの経済的な利得を目的とした攻撃、消費者を標的とした攻撃に関するデータと、RSA® Fraud & Risk Intelligenceチームによる分析を掲載しています。多様な業種、規模の消費者にサービスを提供している企業が効果的なデジタルリスクマネジメントを実現するために役立つサイバー犯罪環境のスナップショットです。(2020年第3四半期版: 2021年1月26日発行)


  1. エグゼクティブサマリー
  2. 犯罪の攻撃傾向: 2020年第3四半期
    • 犯罪のタイプ別発生状況
    • フィッシングの攻撃対象となった国と攻撃がホストされた国
  3. 消費者を狙った犯罪の傾向:2020年第3四半期
    • チャネル別に見る犯罪的取引の発生状況
    • タイプ別のセキュリティ侵害状況
    • クレジットカードを使った平均的取引と不正な取引の比較(eコマース・地域別)
    • デバイスエイジとアカウントエイジ
    • 盗まれたクレジットカード情報とRSAが取り戻した情報
  4. 特集:オンライン不正に休日を台無しにされるのを防ぐには
  5. 日本でホストされたフィッシングサイト(月次推移)

 

1. エグゼクティブサマリー

サイバー攻撃トレンド: 2020年第3四半期

RSAが第3四半期(2020年7月1日から9月30日)に、グローバル規模で観測した犯罪の傾向です。

  • 2020年第3四半期、RSAは世界全体で43,610件の攻撃を検知しました。
  • この第3四半期、不正なモバイルアプリを使った攻撃が、サイバー犯罪者たちによる攻撃方法の大多数を占め、この第3四半期にRSAが認知したすべての攻撃の42%となりました。これまで大多数を占めていたフィッシング攻撃は、全体の33.5%となり、二番目に大きな比率を占めました。
  • 最も多くフィッシング攻撃で名前を騙られたのはカナダのブランドで、全体の56%を占めました。(二番手の占めた比率は、わずか8%にとどまっています)。
  • 最も多くのフィッシング攻撃がホスティングされた国は米国で、全体の68%を占めました。
消費者を狙った犯罪の傾向: 2020年第3四半期
  • この第3四半期にモバイルチャネルから実行された取引は、前四半期比で7%増加しましたが、不正な取引の総量は2%減少しています。
  • 新しいアカウントと新しいデバイスの組み合わせによるオンラインバンキングのログインは、取引全体では0.5%しかありませんが、不正な取引に限ると27%となり、引き続き大きな差異が生じています。
特集:オンライン不正に休日を台無しにされるのを防ぐには

2020年のホリデーショッピングシーズンは、新型コロナウイルス感染拡大による打撃に打ちのめされた小売店にとって、過去最大級のものになると見込まれています。ただしそれは、オンライン犯罪者たちにやりたい放題やられない限り、です。記録破りの売上を懐に掠め取ろうと熱心な犯罪者たちは、儲けの見込める今年のホリデーシーズンにあたり、CNP不正(クレジットカードそのものを提示しない不正カード取引)などの手段を用意しています。RSAは、こうした犯罪者たちの目論見を阻止するために、小売店が何を見込み、何をすべきか、に注目しました。

 

2. 犯罪の攻撃傾向: 2020年第3四半期

犯罪のタイプ別発生状況

2020年第3四半期、RSAは全世界で43,610件の不正行為を検出しました。2017年第1四半期にこの形式のレポートの発行を始めて以来、不正なモバイルアプリの占めた比率が、42%と最大になりました。この急増の原因は、公式アプリストアがサービス停止状態から再開した際に、削除したはずの不正なアプリが意図せずに再表示されたことにあると考えるのが妥当です。
その次に多いのがフィッシング攻撃で、33.5%を占めています(前四半期比で10ポイント減少)。
ブランドの不正使用が占めた割合は全体の15.5%で、これは前四半期から半減しています。トロイの木馬を用いた攻撃の占めた割合は9%で、第1、第2四半期と変わりありません。

犯罪攻撃の総検知件数の推移とタイプ別発生状況 - RSA Quarterly Fraud Report Vol.114

フィッシングの攻撃対象となった国

今四半期も最も多くフィッシング攻撃の標的となった(攻撃の際に騙られた)ブランドは、引き続きカナダのものでした。カナダは、現在の形式で調査を開始した2017年第1四半期以来、すべての四半期で最大の標的国であり続けています。2019年第4四半期から2位を占めてきた米国は、4位になりました。一方で、上位10ヵ国の他の国々に関する攻撃が減少したためか、インドの順位が前回の7位から2位へと悪化しました。また豪州がランクインし、メキシコが圏外となりました。

フィッシング攻撃を受けた回数(国別シェア) - RSA Quarterly Fraud Report Vol.114

フィッシング攻撃がホストされた国々


第3四半期に発生したフィッシング攻撃のホスティングの68%に関与した米国は、引き続きフィッシング攻撃の最大のホスティング国でした。これは、ひと握りの大規模事業者に起因しています。彼らの取り扱う処理が膨大すぎるため、占める割合が相対的に小さい不正な活動が(埋もれて)検知しにくくなっているのです(上位10ヵ国他の国々が占めている割合は、1桁前半のわずかなものにとどまっています)。

フィッシング攻撃をホストした回数(国別シェア) - RSA Quarterly Fraud Report Vol.114

3. 消費者を狙った犯罪の傾向:2020年第3四半期

RSA® Fraud & Risk Intelligenceチームは、消費者に対する金融サイバー不正攻撃を検知、防止、緩和することで、公共の利益を守りながら、消費者を狙った不正データを分析し、主要な組織のためのセキュリティとリスクの管理に関する意思決定を形成しています。継続的に消費者を狙った不正の傾向を観察することで、消費者と相対するデジタルチャネルを横断するデジタルリスク管理戦略を構築、洗練する方法について意思決定者を支援することができます。

ここで紹介する内容は、現在の消費者を取り巻く犯罪的環境の枠組みを包括的に捉え、金融とeコマースという二つの領域を横断的に注視して、オンライン犯罪にかかわる幅広い指標を追跡するもので、オンライン犯罪の傾向の特定を目指しています。

不正取引の発生状況

 

チャネル別に見る取引の発生状況(取引全体の内訳) - RSA Quarterly Fraud Report Vol.114

取引方法

2020年第3四半期、モバイルブラウザーとモバイルアプリからの取引は、RSAが観測した取引全体の63%を占めました。これは、前四半期比で7ポイントの増加にあたります。

チャネル別に見る犯罪的取引の発生状況(不正取引の内訳) - RSA Quarterly Fraud Report Vol.114

不正取引の方法

2020年第3四半期における、モバイルチャネル*から実行されたオンライン詐欺の全体的な件数は、前四半期の69%から67%に微減しました。

*モバイルブラウザーとモバイルアプリケーションを合わせた数字

 

クレジットカードを使った正規の取引と不正な取引の比較(eコマース・地域別)

 

 地域

取引の平均単価

不正取引の平均単価

差額

比較(%)

EU (英国を含まない欧州)

$124

$274

$150

+121.0%

南北アメリカ

$169

$230

$61

+36.1%

英国

$148

$190

$42

+28.4%

豪州/ニュージーランド

$108

$268

$160

+148.1%

出典: RSA Fraud & Risk Intelligence Service, 2020年7月-9

 

2020年第3四半期、不正取引額が最も高かったのはEUの274ドルで、これは2位の南北アメリカの230ドルより16%、最も低かった英国の190ドルより31%高額でした。不正取引の平均単価が最も少なかった英国は、全体の取引平均単価との差額も最も小さくなっています。前回同様、EUと豪州/ニュージーランドでは、不正取引の平均単価が全体の取引平均単価の2倍を超えています。

 

デバイスエイジとアカウントエイジ

分析

「デバイスエイジ」とは、デバイス(ノートPCやスマートフォンなど)が“本人によって利用された”と、RSA Fraud Platformが判断した期間の長さです。「アカウントエイジ」とは、アカウントが(ログインされるなどして)“本人によって利用された”と、RSA Fraud Platformが判断した期間の長さです。このデータは、ログインや取引のイベント中の誤検知や顧客との軋轢を最小限に抑えるためには正確なデバイス識別が重要であることを示しています。 

eコマース

2020年第3四半期、不正取引額の66%は、新しいデバイス上の実績のあるアカウントから発生(乗っ取ったアカウントを本人以外のデバイス上で使っていることを示唆)しています。この傾向は前四半期比で10%以上の増加にあり、アカウントを乗っ取るタイプの犯行の加速が窺われます。

デバイスエイジとアカウントエイジ(eコマース) - RSA Quarterly Fraud Report Vol.114

オンラインバンキング:ログイン

新しいデバイス上で新しいアカウントにログインされた履歴が全体ではわずか0.5%だったのに対して、不正取引に限定すると全体の27%を占めています。第2四半期にも見られたように、このギャップは、オンライン犯罪者が不正アクセスの結果、窃取された個人情報を使って新たなミュールアカウントを開設し、現金化や別の詐欺行為に活用していることを示唆しています。

デバイスエイジとアカウントエイジ(オンラインバンキング:ログイン) - RSA Quarterly Fraud Report Vol.114

オンラインバンキング:支払い

第3四半期における新しいアカウントと新しいデバイスの組み合わせによる支払い取引の比率は全体の0.2%のみでしたが、不正取引に限定すると全体の8.7%を占めました。また、信頼できるアカウントと信頼できるデバイスの組み合わせによる不正取引の比率は17%と、前四半期の16%から1ポイントだけ増加しています。

デバイスエイジとアカウントエイジ(オンラインバンキング:支払い) - RSA Quarterly Fraud Report Vol.114
盗まれたクレジットカード情報とRSAが取り戻した情報
RSAが取り戻した盗まれたクレジットカード情報 - RSA Quarterly Fraud Report Vol.114

分析

2020年第3四半期に、RSAは、重複無しで8,967,267件の漏えいしたカードの情報及びカードのプレビューを取り戻しました。窃取者は、窃取されたカードを、侵害方法によって「CVV2」もしくは「ダンプ」に分類します。 RSA FraudAction™サービスは、オンライン取引やeコマースを狙ったサイバー攻撃によって窃取されたカードデータである「CVV2」に関するデータを回復します。この種類の不正取得されたカード情報は、「カーディング」(実店舗やウェブサイト(ECサイト)などで商品を購入(その後現金化)する不正行為)を含むさまざまな不正行為に悪用される恐れがあります。

 

4. 特集:オンライン不正に休日を台無しにされるのを防ぐには

ホリデーショッピングが早く始まることは小売店にとって喜ばしいことですが、犯罪者も喜びます

2020年のホリデーショッピングシーズンにおけるデジタル販売の比率は、これまで以上に大きくなってきています。同年、57%の消費者は(ホリデーショッピングの期間に)オンラインショッピングを増やす予定だと答えており、全体の半分以上をオンラインで行うと答えた消費者は、前年のほぼ3倍にあたる45%以上になるといいます*1。 COVID-19(新型コロナウイルス感染症)の感染リスクによって活気を奪われた店頭販売の受けた打撃を思えば、これは予想されたことです。ある調査によると、今や消費者は、企業とのやり取りに使う時間のうち、6割をオンラインで、4割をオフラインで実施しているといいます。これは、パンデミック前の2019年の状況とまったく逆転していることになります。 *2

オンライン販売の大幅増が見通されていることは、小売店にとって朗報です。多くの小売店が、堅調なホリデーショッピングシーズンの到来は、COVID-19関連の損失から回復する上で重要な力になると考えています。*3  ただし、残念ながら、人々のオンライン行動の増加は、小売店やその顧客を騙そうとする機会が増えるので、オンライン犯罪者たちにとっても朗報です。2020年のAmazon プライムデーは、従来の7月期から10月中旬に延期されました。このことにより、ホリデーショッピングがより早い時期に始まることになるので、小売店は売り上げを伸ばすための時間を増やせる一方で、オンライン犯罪者も、不正を行う時間を増やすことができます。

CNP不正など:オンラインストアで起きていること

オンライン小売店にとって、長期にわたる2020年のホリデーショッピングシーズンにおける最大のリスクは、CNP不正(クレジットカードそのものを提示しない不正カード取引)です。例年、CNP不正はこの休暇時期に急増しますが、消費者がより多くのオンラインショッピングを計画し、(早く始まったことで)期間も長い2020年のショッピングシーズンは、オンライン犯罪者にとって特に魅力的な稼ぎ時でもあります。実際、その次の不正での利用を目的としたクレジットカード情報取得のために、ハッキング、スキミング、フィッシング、不正アクセスやアンダーグラウンドのフォーラムからの購入など、積極的な活動が行われると見込まれています。

本レポートの前半で報告したとおり、不正なモバイルアプリを用いた攻撃は、第3四半期にRSAが観測した不正攻撃の​​42%を占めています。このことは、この手法がオンライン犯罪者にとって2020年のホリデーシーズンに消費者のクレジットカード情報に不正アクセスする手段の一つであることを示しています(図1)。

同様に、オンライン犯罪者が電子メールやソーシャルメディアの投稿によって人気のあるブランドを偽装するブランド乱用攻撃は、消費者情報を取得するための試みですが、(犯罪者にとって)成功してしまう恐れがあります(図2)。それに加えて、COVID-19に関連した不正行為の計画も、(犯罪者の)人気を集める恐れがあります。感染拡大のために手元資金が不足している買い物客に対して資金援助を申し出る怪しい案内や、助け合いの精神を刺激しようとする、COVID-19関連慈善団体を装う偽りの訴えが届いても驚かないでください。*4

特集 図1: RSA Quarterly Fraud Report Vol.113

オンライン犯罪者が、こうした不正行為に用いる目的でフィッシング攻撃を行って個人識別情報を窃取することは珍しくありません

特集 図2: RSA Quarterly Fraud Report Vol.113

 

小売業者およびカード発行会社に対する推奨事項

重要なこのホリデーシーズンにおける、オンライン販売の最大化と不正リスクの最小化の両立には、すべての小売業者とカード発行会社がバランスの取れた行動を習得する必要があります。そのために備えるステップは、次のとおりです。

  • 包括的な不正防止監視の導入
    ホリデーショッピングシーズン中は、不正なモバイルアプリ、フィッシング、ブランドの悪用など、あらゆる種類のオンライン不正攻撃を監視することが重要です。この工程を社内管理するにしても、外部サービスを利用するにしても、社内の不正対策スタッフは、攻撃阻止に向けた行動が迅速に行えるよう、警戒を怠らずに準備しておく必要があります。
  • 可視化
    ウェブアプリとモバイルアプリで何が起こっているのか、いつでも完全に把握し、正当なユーザーが通常どのようにウェブサイトを利用しているか、(それらの振る舞いと比べて)どのような異常が観測されるかを確認するように努めましょう。こうした取り組みは、正当な顧客による振る舞いと、不正に入手したクレジットカードが使えるかテストしようとするオンライン犯罪者の振る舞いを区別するのに役立ちます。
  • トランザクションリスク分析
    小売業者にとって、取引が急増している場合、リスクスコアリングモデルには、より少ない誤検知と高い正確性が求められます。正当なユーザーが抱く不平不満を最小限に抑えるために、リスクポリシーとリスクスコアリング基準が一致していることを確認しましょう。ユーザーのID認証で追加認証が必要な際に、その工程ができるだけ迅速かつ便利なものになるようさまざまなオプションを提供してください。この非常に厳しい金融状況の中、顧客を逃がして競争相手に送り出すようなことはしたくないはずです。

買い物客にオンライン不正の見つけ方を教える

小売業者とカード発行会社は、顧客に対して協調してオンライン不正に関する啓蒙を行うことで、顧客をオンライン不正との戦いに協力させることができます。いくつか例を挙げます。

  • フィッシングの餌
    消費者にとって、ハッキングやスキミングを止めるためにできることは多くありませんが、攻撃の兆候を理解しオンライン犯罪者がぶらさげる餌に釣られないようにすることで、クレジットカード情報の取得を目的としたフィッシング攻撃と戦うことはできます。攻撃者が用意するコミュニケーションの種類(「カードに問題がある」と主張するなど)や要求の性質(リンクのクリックを要求したり、個人データの提供を依頼したりするなど)といった攻撃の手がかりを見つけられるよう、助言します。
  • 偽ブランド詐欺
    「本当だとすると都合が良すぎるように聞こえたら、まず当たり」というのは、オンラインショッピングで提示される偽りのブランドを見つけるための経験則の一つです。ソーシャルメディアの投稿やメールに本物のブランドロゴマークが表示されていても、本物であるとは限りません。多くのブランド乱用攻撃は、消費者に価値の高い商品やサービスを提供していると主張して、個人データやクレジットカード情報を抜き取ろうとします。 こうした情報を伝え、顧客に警告しましょう。
  • 不正なモバイルアプリ
    偽りのアプリから身を守るには、App StoreやGoogle Playなどの公式の正しい提供場所以外からアプリをダウンロードしないようにすることから始まります。何か不明な点があったら、ダウンロードする前にアプリの発行元を確認するという対策も有用です。

賭け金が高い以上、それに応じた行動をとりましょう

2020年のホリデーショッピングシーズンは、同年受けた打撃からの回復に必要な売り上げを求める多くのオンライン小売業者にとって、生死を分けるほど重要です。幸いなことに、消費者はこれまで以上にオンラインで買い物をする準備ができているように見受けられることから、シーズンを上首尾に乗り切りたい小売業者にとって、これは分の悪い勝負ではなさそうです。

もちろん、それでも、不確定要素はあります。それはオンライン不正、特にCNP不正です。それでも、注意すべきポイント、オンライン不正と戦う方法、そして顧客が自らを守る方法を伝えられるオンライン小売業者やカード発行会社は、最善の準備ができるでしょう。

*1 “Are consumers ‘flattening the curve’ of peak shipping volumes?” Pitney Bowes 2020年10月
*2 “15,000+ Consumers and Business Buyers Weigh in on the Future of Customer Engagement” Salesforce 2020年10月27日
*3 “Holiday Season Essential to E-Commerce Recovery or Survival,” CNP 2020年10月15日
*4 RSA Quarterly Fraud Report Volume 3 Issue 1 2020年第1四半期

 

5. 日本でホストされたフィッシングサイト

日本に立ったフィッシングサイトの報告数は、2020年3月に単月で67件と急増しましたが、その後は減少し、第3四半期累計でも、3月単月の報告数を下回っています。

日本に立ったフィッシングサイト数 - RSA Quarterly Fraud Report Vol.113

国内でホスティングされていたフィッシングサイト数の少なさとは対照的に、日本のブランドを騙るフィッシング攻撃の激しさはとどまるところを知らないという印象です。

フィッシング対策協議会に報告された国内のフィッシング攻撃件数は、2019年1月の1,713件から2020年11月の30,967件までほぼ右肩上がりで増え続けています。特に、この11月の30,967件は前年同期比のおよそ4倍で、年初の6,653件と比べると、およそ4.7倍にあたります。その結果、11月までの総攻撃件数192,505件は、まだ1ヶ月を残して、圧倒的な記録更新となった昨年の年間累計報告件数(2018年の約2万件の2.7倍以上になる5.5万件)のさらに約4倍になりました。同協議会によると、特に Amazon を騙るフィッシングの報告が全体の 62.3 % を占めた他、三井住友カード、楽天、MyJCB、アプラス (新生銀行カード)の上位 5 ブランドを騙るフィッシングが、報告数全体の 9割 を占めたということです。さらに 11 月に入って、国税庁や新たなカードブランドなど、新規ブランドを騙るフィッシングが増えていると、注意を喚起しています。

 

 


本ニュースレターに関するお問い合せ先

RSA Security Japan合同会社  マーケティング部
水村 明博
Tel : (080)3318-9763  eMail : akihiro.mizumura@rsa.com