RSA Quarterly Fraud Report Vol.114

フィッシングやオンライン犯罪情報、統計情報を RSA が、まとめたレポートです。

予想の通り、モバイル端末を標的にしたものが、大幅に増加しているようですね。

ご注意ください。

RSA Quarterly Fraud Report Vol.114
RSA Security Japan合同会社

フィッシングという言葉が1996年に出現して以来、手口は進化し続けており、被害総額と被害者数は上昇の一途をたどっています。RSAは2003年よりオンライン犯罪対策サービス「RSA FraudAction」を提供しており（国内提供は2006年から）、トロイの木馬などマルウェア攻撃を検知し、フィッシングサイトを閉鎖しています。FraudActionの中核であるAFCC（Anti-Fraud Command Center：不正対策指令センター）は、今年で設立18年目を迎え、フロード・アナリストが24時間365日体制で数カ国語を駆使してマルウェア解析、犯罪手口の解明に従事しています。
本ニュースレターは、AFCCが定期的に公開しているインテリジェンスレポートからフィッシングやオンライン犯罪情報、統計情報をまとめたものです。犯罪者による金銭などの経済的な利得を目的とした攻撃、消費者を標的とした攻撃に関するデータと、RSA® Fraud & Risk Intelligenceチームによる分析を掲載しています。多様な業種、規模の消費者にサービスを提供している企業が効果的なデジタルリスクマネジメントを実現するために役立つサイバー犯罪環境のスナップショットです。（2020年第3四半期版： 2021年1月26日発行）

１．犯罪の攻撃傾向： 2020年第3四半期

・犯罪のタイプ別発生状況

2020年第3四半期、RSAは全世界で43,610件の不正行為を検出しました。2017年第1四半期にこの形式のレポートの発行を始めて以来、不正なモバイルアプリの占めた比率が、42%と最大になりました。この急増の原因は、公式アプリストアがサービス停止状態から再開した際に、削除したはずの不正なアプリが意図せずに再表示されたことにあると考えるのが妥当です。
その次に多いのがフィッシング攻撃で、33.5%を占めています(前四半期比で10ポイント減少)。ブランドの不正使用が占めた割合は全体の15.5%で、これは前四半期から半減しています。トロイの木馬を用いた攻撃の占めた割合は9%で、第1、第2四半期と変わりありません。

出典：RSA® Fraud & Risk Intelligence Service、2019年4月～2020年9月

・フィッシングの攻撃対象となった国
今四半期も最も多くフィッシング攻撃の標的となった(攻撃の際に騙られた)ブランドは、引き続きカナダのものでした。カナダは、現在の形式で調査を開始した2017年第1四半期以来、すべての四半期で最大の標的国であり続けています。2019年第4四半期から2位を占めてきた米国は、4位になりました。一方で、上位10ヵ国の他の国々に関する攻撃が減少したためか、インドの順位が前回の7位から2位へと悪化しました。また豪州がランクインし、メキシコが圏外となりました。

出典：RSA® Fraud & Risk Intelligence Service、2019年4月～2020年9月

・フィッシング攻撃がホストされた国々
第3四半期に発生したフィッシング攻撃のホスティングの68%に関与した米国は、引き続きフィッシング攻撃の最大のホスティング国でした。これは、ひと握りの大規模事業者に起因しています。彼らの取り扱う処理が膨大すぎるため、占める割合が相対的に小さい不正な活動が(埋もれて)検知しにくくなっているのです(上位10ヵ国他の国々が占めている割合は、1桁前半のわずかなものにとどまっています)。

出典：RSA® Fraud & Risk Intelligence Service　2019年4月～2020年9月

２．消費者を狙った犯罪の傾向：2020年第3四半期
RSA® Fraud & Risk Intelligenceチームは、消費者に対する金融サイバー不正攻撃を検知、防止、緩和することで、公共の利益を守りながら、消費者を狙った不正データを分析し、主要な組織のためのセキュリティとリスクの管理に関する意思決定を形成しています。継続的に消費者を狙った不正の傾向を観察することで、消費者と相対するデジタルチャネルを横断するデジタルリスク管理戦略を構築、洗練する方法について意思決定者を支援することができます。

ここで紹介する内容は、現在の消費者を取り巻く犯罪的環境の枠組みを包括的に捉え、金融とeコマースという二つの領域を横断的に注視して、オンライン犯罪にかかわる幅広い指標を追跡するもので、オンライン犯罪の傾向の特定を目指しています。

・不正取引の発生状況

出典：RSA® Fraud & Risk Intelligence Service、2017年7月～2020年9月

・取引方法
2020年第3四半期、モバイルブラウザーとモバイルアプリからの取引は、RSAが観測した取引全体の63%を占めました。これは、前四半期比で7ポイントの増加にあたります。

出典：RSA® Fraud & Risk Intelligence Service、2017年7月～2020年9月

不正取引の方法
2020年第3四半期における、モバイルチャネル*から実行されたオンライン詐欺の全体的な件数は、前四半期の69％から67%に微減しました。（*モバイルブラウザーとモバイルアプリケーションを合わせた数字）

・クレジットカードを使った正規の取引と不正な取引の比較(eコマース･地域別)

クレジットカードを使った正規の取引と不正な取引の比較(eコマース･地域別)

2020年第3四半期、不正取引額が最も高かったのはEUの274ドルで、これは2位の南北アメリカの230ドルより16%、最も低かった英国の190ドルより31%高額でした。不正取引の平均単価が最も少なかった英国は、全体の取引平均単価との差額も最も小さくなっています。前回同様、EUと豪州/ニュージーランドでは、不正取引の平均単価が全体の取引平均単価の2倍を超えています。

・デバイスエイジとアカウントエイジ
・分析
「デバイスエイジ」とは、デバイス(ノートPCやスマートフォンなど)が“本人によって利用された”と、RSA Fraud Platformが判断した期間の長さです。「アカウントエイジ」とは、アカウントが(ログインされるなどして)“本人によって利用された”と、RSA Fraud Platformが判断した期間の長さです。このデータは、ログインや取引のイベント中の誤検知や顧客との軋轢を最小限に抑えるためには正確なデバイス識別が重要であることを示しています。

・eコマース
2020年第3四半期、不正取引額の66%は、新しいデバイス上の実績のあるアカウントから発生(乗っ取ったアカウントを本人以外のデバイス上で使っていることを示唆)しています。この傾向は前四半期比で10%以上の増加にあり、アカウントを乗っ取るタイプの犯行の加速が窺われます。

デバイスエイジとアカウントエイジ – e コマース

・オンラインバンキング：ログイン
新しいデバイス上で新しいアカウントにログインされた履歴が全体ではわずか0.5%だったのに対して、不正取引に限定すると全体の27%を占めています。第2四半期にも見られたように、このギャップは、オンライン犯罪者が不正アクセスの結果、窃取された個人情報を使って新たなミュールアカウントを開設し、現金化や別の詐欺行為に活用していることを示唆しています。

デバイスエイジとアカウントエイジ – ログイン

・オンラインバンキング：支払い
第3四半期における新しいアカウントと新しいデバイスの組み合わせによる支払い取引の比率は全体の0.2%のみでしたが、不正取引に限定すると全体の8.7%を占めました。また、信頼できるアカウントと信頼できるデバイスの組み合わせによる不正取引の比率は17%と、前四半期の16%から1ポイントだけ増加しています。

デバイスエイジとアカウントエイジ – 支払い

・盗まれたクレジットカード情報とRSAが取り戻した情報

出典：RSA Fraud & Risk Intelligence Service, 2019年6月～2020年9月

・分析
2020年第3四半期に、RSAは、重複無しで8,967,267件の漏えいしたカードの情報及びカードのプレビューを取り戻しました。窃取者は、窃取されたカードを、侵害方法によって「CVV2」もしくは「ダンプ」に分類します。 RSA FraudAction™サービスは、オンライン取引やeコマースを狙ったサイバー攻撃によって窃取されたカードデータである「CVV2」に関するデータを回復します。この種類の不正取得されたカード情報は、「カーディング」(実店舗やウェブサイト(ECサイト)などで商品を購入(その後現金化)する不正行為)を含むさまざまな不正行為に悪用される恐れがあります。

3. 特集：オンライン不正に休日を台無しにされるのを防ぐには

・ホリデーショッピングが早く始まることは小売店にとって喜ばしいことですが、犯罪者も喜びます
2020年のホリデーショッピングシーズンにおけるデジタル販売の比率は、これまで以上に大きくなってきています。同年、57％の消費者は(ホリデーショッピングの期間に)オンラインショッピングを増やす予定だと答えており、全体の半分以上をオンラインで行うと答えた消費者は、前年のほぼ3倍にあたる45%以上になるといいます*1。 COVID-19(新型コロナウイルス感染症)の感染リスクによって活気を奪われた店頭販売の受けた打撃を思えば、これは予想されたことです。ある調査によると、今や消費者は、企業とのやり取りに使う時間のうち、6割をオンラインで、4割をオフラインで実施しているといいます。これは、パンデミック前の2019年の状況とまったく逆転していることになります。*2 オンライン販売の大幅増が見通されていることは、小売店にとって朗報です。多くの小売店が、堅調なホリデーショッピングシーズンの到来は、COVID-19関連の損失から回復する上で重要な力になると考えています。*3 ただし、残念ながら、人々のオンライン行動の増加は、小売店やその顧客を騙そうとする機会が増えるので、オンライン犯罪者たちにとっても朗報です。2020年のAmazon プライムデーは、従来の7月期から10月中旬に延期されました。このことにより、ホリデーショッピングがより早い時期に始まることになるので、小売店は売り上げを伸ばすための時間を増やせる一方で、オンライン犯罪者も、不正を行う時間を増やすことができます。

・CNP不正など：オンラインストアで起きていること
オンライン小売店にとって、長期にわたる2020年のホリデーショッピングシーズンにおける最大のリスクは、CNP不正(クレジットカードそのものを提示しない不正カード取引)です。例年、CNP不正はこの休暇時期に急増しますが、消費者がより多くのオンラインショッピングを計画し、(早く始まったことで)期間も長い2020年のショッピングシーズンは、オンライン犯罪者にとって特に魅力的な稼ぎ時でもあります。実際、その次の不正での利用を目的としたクレジットカード情報取得のために、ハッキング、スキミング、フィッシング、不正アクセスやアンダーグラウンドのフォーラムからの購入など、積極的な活動が行われると見込まれています。

図1. ブラックフライデーのクーポンを提供する不正なアプリ

本レポートの前半で報告したとおり、不正なモバイルアプリを用いた攻撃は、第3四半期にRSAが観測した不正攻撃の​​42％を占めています。このことは、この手法がオンライン犯罪者にとって2020年のホリデーシーズンに消費者のクレジットカード情報に不正アクセスする手段の一つであることを示しています(図1)。同様に、オンライン犯罪者が電子メールやソーシャルメディアの投稿によって人気のあるブランドを偽装するブランド乱用攻撃は、消費者情報を取得するための試みですが、(犯罪者にとって)成功してしまう恐れがあります(図2)。それに加えて、COVID-19に関連した不正行為の計画も、(犯罪者の)人気を集める恐れがあります。感染拡大のために手元資金が不足している買い物客に対して資金援助を申し出る怪しい案内や、助け合いの精神を刺激しようとする、COVID-19関連慈善団体を装う偽りの訴えが届いても驚かないでください。*4

・小売業者およびカード発行会社に対する推奨事項

図2. 米国の大手小売業者の顧客を狙って作られたフィッシングの餌

重要なこのホリデーシーズンにおける、オンライン販売の最大化と不正リスクの最小化の両立には、すべての小売業者とカード発行会社がバランスの取れた行動を習得する必要があります。そのために備えるステップは、次のとおりです。

・包括的な不正防止監視の導入
ホリデーショッピングシーズン中は、不正なモバイルアプリ、フィッシング、ブランドの悪用など、あらゆる種類のオンライン不正攻撃を監視することが重要です。この工程を社内管理するにしても、外部サービスを利用するにしても、社内の不正対策スタッフは、攻撃阻止に向けた行動が迅速に行えるよう、警戒を怠らずに準備しておく必要があります。

・可視化
ウェブアプリとモバイルアプリで何が起こっているのか、いつでも完全に把握し、正当なユーザーが通常どのようにウェブサイトを利用しているか、(それらの振る舞いと比べて)どのような異常が観測されるかを確認するように努めましょう。こうした取り組みは、正当な顧客による振る舞いと、不正に入手したクレジットカードが使えるかテストしようとするオンライン犯罪者の振る舞いを区別するのに役立ちます。

・トランザクションリスク分析
小売業者にとって、取引が急増している場合、リスクスコアリングモデルには、より少ない誤検知と高い正確性が求められます。正当なユーザーが抱く不平不満を最小限に抑えるために、リスクポリシーとリスクスコアリング基準が一致していることを確認しましょう。ユーザーのID認証で追加認証が必要な際に、その工程ができるだけ迅速かつ便利なものになるようさまざまなオプションを提供してください。この非常に厳しい金融状況の中、顧客を逃がして競争相手に送り出すようなことはしたくないはずです。

・買い物客にオンライン不正の見つけ方を教える
小売業者とカード発行会社は、顧客に対して協調してオンライン不正に関する啓蒙を行うことで、顧客をオンライン不正との戦いに協力させることができます。いくつか例を挙げます。

・フィッシングの餌
消費者にとって、ハッキングやスキミングを止めるためにできることは多くありませんが、攻撃の兆候を理解しオンライン犯罪者がぶらさげる餌に釣られないようにすることで、クレジットカード情報の取得を目的としたフィッシング攻撃と戦うことはできます。攻撃者が用意するコミュニケーションの種類(「カードに問題がある」と主張するなど)や要求の性質(リンクのクリックを要求したり、個人データの提供を依頼したりするなど)といった攻撃の手がかりを見つけられるよう、助言します。

・偽ブランド詐欺
「本当だとすると都合が良すぎるように聞こえたら、まず当たり」というのは、オンラインショッピングで提示される偽りのブランドを見つけるための経験則の一つです。ソーシャルメディアの投稿やメールに本物のブランドロゴマークが表示されていても、本物であるとは限りません。多くのブランド乱用攻撃は、消費者に価値の高い商品やサービスを提供していると主張して、個人データやクレジットカード情報を抜き取ろうとします。 こうした情報を伝え、顧客に警告しましょう。

・不正なモバイルアプリ
偽りのアプリから身を守るには、App StoreやGoogle Playなどの公式の正しい提供場所以外からアプリをダウンロードしないようにすることから始まります。何か不明な点があったら、ダウンロードする前にアプリの発行元を確認するという対策も有用です。

・賭け金が高い以上、それに応じた行動をとりましょう
2020年のホリデーショッピングシーズンは、同年受けた打撃からの回復に必要な売り上げを求める多くのオンライン小売業者にとって、生死を分けるほど重要です。幸いなことに、消費者はこれまで以上にオンラインで買い物をする準備ができているように見受けられることから、シーズンを上首尾に乗り切りたい小売業者にとって、これは分の悪い勝負ではなさそうです。もちろん、それでも、不確定要素はあります。それはオンライン不正、特にCNP不正です。それでも、注意すべきポイント、オンライン不正と戦う方法、そして顧客が自らを守る方法を伝えられるオンライン小売業者やカード発行会社は、最善の準備ができるでしょう。

出典：RSA Fraud & Risk Intelligence Service, 2019年6月～2020年9月

4. 日本でホストされたフィッシングサイト
日本に立ったフィッシングサイトの報告数は、2020年3月に単月で67件と急増しましたが、その後は減少し、第3四半期累計でも、3月単月の報告数を下回っています。

出典：RSA Fraud & Risk Intelligence Service, 2019年6月～2020年6月

国内でホスティングされていたフィッシングサイト数の少なさとは対照的に、日本のブランドを騙るフィッシング攻撃の激しさはとどまるところを知らないという印象です。フィッシング対策協議会に報告された国内のフィッシング攻撃件数は、2019年1月の1,713件から2020年11月の30,967件までほぼ右肩上がりで増え続けています。特に、この11月の30,967件は前年同期比のおよそ4倍で、年初の6,653件と比べると、およそ4.7倍にあたります。その結果、11月までの総攻撃件数192,505件は、まだ1ヶ月を残して、圧倒的な記録更新となった昨年の年間累計報告件数(2018年の約2万件の2.7倍以上になる5.5万件)のさらに約4倍になりました。同協議会によると、特に Amazon を騙るフィッシングの報告が全体の 62.3 % を占めた他、三井住友カード、楽天、MyJCB、アプラス (新生銀行カード)の上位 5 ブランドを騙るフィッシングが、報告数全体の 9割 を占めたということです。さらに11月に入って、国税庁や新たなカードブランドなど、新規ブランドを騙るフィッシングが増えていると、注意を喚起しています。

以上

どんどん巧妙化しているし、おそらくは、ばらまくメールなどの量も、飛躍的に増えているのかと。

お仕事柄、たくさんのメールアドレスを使っていたりすると、それが公開されているようなものなら、どんどんそんなメールが届くものね。

これ、今の迷惑メールフィルターの限界を超えているので、すでにそのような作業は行わなくなってしまったけれど、これって良いことではないと思う。

まぁ、大変なことが起こっていれば、それこそ郵便とかで連絡されてくるだろうし、そうでもなきゃ、そんなの知るか！みたいな感じぐらいのほうが良いのかも。

偽サイトってよくよく見ていると、わかると思うのだけれど、それでも多くの人が引っかかって、それだけではなく、支払いで使ったカードなどの情報がダダ漏れってことだから、これは大変なことだよね。

minorus

電子機器が大好きです。
プログラムを書くのをお仕事としていたこともあるので、両方できる PIC や Arduino を使って、いろいろな（役にあんまり立たない）ものを作っています。
実は UNIX 関連のお仕事も長かったので、Raspberry Pi もお手の物なのですけれど、これから触る機会が多くなるのかなぁ。
ボチボチ行きますが、お付き合いください。
若いころの写真なので、現時点では、まだ髪の毛は黒くてありますが、お髭は真っ白になりました。
愛車の国鉄特急カラーのカスタムしたリトルカブで、時々、秋月電子通商の八潮店に出没します。