Digital Commerce 360 2021/2/12 10:00

人工知能(AI)に投資しているのは企業だけではありません。オンライン詐欺組織や、小売事業者を狙うスキャルピング(主に転売目的で行われる超短期取引)組織も、企業と同じように効率とスピードを高めるため、自動化とAIに注目しています。横行している2大詐欺ボットの手口と対策を紹介していきます。

チェックアウトページへのトラフィック、70%が悪意あるボットによって生成

スマートな技術を導入することで、ビジネスはより正確か効率的、そしてより収益性の高いものになります。結局のところ、EC事業者や小売事業者を狙って悪質な行為を行う人たちも、起業家のようなものなのです。彼らは、イノベーションやポートフォリオを拡大し、成功するための方法を受け入れます。

この傾向を見ると、EC企業に対するボット攻撃が増加している理由がわかるでしょう。デジタル金融ビジネスにおいて企業を支援するJavelin Strategy & Research社によると、ECのチェックアウトページへのトラフィックの70%が悪意のあるボットによって生成されているそうです。EC保護プラットフォームを提供するSignifyd社も2020年、同社のプラットフォーム上でボット攻撃が大幅に増加していることを確認しています。

発見が困難なほどのスピード感で実行されるボット攻撃

ボットを使った攻撃はあっという間に実行されるため発見が困難です。危機管理チームが異常を発見した時点で、詐欺師やスキャルパー(短期取引の実行元)はとっくに消えており、彼らがターゲットとしていた商品も同様に消えています

では、これらの詐欺組織はどのように消費者へ付け込み、小売事業者を騙しているのでしょうか? 人工知能の発達は、オンライン小売事業者を狙う詐欺組織をどのように変えているのでしょうか? 現在のボット攻撃の中でも特に多い「スキャルピング」と「ラピッドファイヤー詐欺(短時間に連続して攻撃する手法)」に焦点を当ててみます。

ボットの餌食になった「プレイステーション5」

ボットを活用しているスキャルパーを事例にあげます。あなたも2020年のクリスマスに、プレイステーション5を入手できなかった何千人もの親の1人かもしれません。手に入らなかったのがボットのせいだと説明しても、子どもたちの失望感を和らげることはできなかったでしょうが、実際にボットのせいだったのです。

アメリカとイギリスでは、発売日に何千台ものプレイステーション5がスキャルピングされたと報告されています。スキャルピングの実行者は同時に、ソーシャル・メディアやマーケットプレイスのサイトに写真を投稿して自慢げに宣伝し、定価の10倍の値段で販売していました。

スキャルピングとラピッドファイヤー攻撃は、似たような技術を使用し、同じような目的で悪質な行為を行いますが、重要な違いがあります。商品のスキャルピングは明らかな違法ではありませんが、ラピッドファイヤー詐欺は事実上、犯罪です。

ラピッドファイヤー詐欺は、アカウントの作成から支払いプロセスにおけるクレジットカードの承認、チェックアウト時の最終的なカード確認まで、消費者が辿るオンラインでの支払いプロセス全体を対象としています。

ダークウェブで始まるラピッドファイヤー詐欺

詐欺組織はダークウェブ(通常のブラウザではアクセスできない、匿名性が高いWeb。非合法な情報やマルウェア、麻薬などが取引されている)で何千、何万もの盗まれたユーザー名やパスワード、その他の個人情報を驚くほどの少額で購入しています。詐欺組織はこれらの情報を使って、以下のようなさまざまなオンライン攻撃を行うのです。

一度に多数の「偽アカウント」やユーザープロファイルを作成

詐欺組織は、ECサイトでアカウントを作成するとき、盗まれた情報と自分たちの情報を混ぜて使用するようボットを慎重にプログラムし、実際の顧客のものであるかのように見せかけます。

アカウントを大量に乗っ取るためのクレデンシャル・スタッフィング攻撃(パスワードリスト型攻撃)を開始

多くの消費者は、複数のサイトで同じユーザー名とパスワードを使用しています。ボットは機密情報を盗み出し、数秒で何千ものサイトにサインインしようとします。そして、乗っ取りに成功したアカウントを使って買い物をするのです。

クレジットカードを試す

履歴を蓄積するために盗んだカードを使って、目につかない小額の買い物をするだけではありません。今の詐欺組織は、「良好な状態」にあるアカウントに新しいクレジットカードを追加することで、盗まれたクレジットカードの詳細を迅速にテストしています。通常、小売事業者は、決済処理業者や銀行に承認されたカードかどうかを確認するために、0ドルをチャージします。詐欺組織は、カードが承認されれば価値があり、再販可能な商品を購入できると知っています。

詐欺の一斉射撃を行う

詐欺組織は、詐欺用のクレジットカードを手にした後、Web上の数多くのECサイトで違法な注文を行うために、ボットを利用するようになるでしょう。信じられないほどのスピードで取引が行われるため、危機管理者が状況を察知して理解する前に、詐欺組織はすでに姿をくらましています。

詐欺ボットの攻撃は巧妙に行われていますが、ボットによる詐欺の割合はまだ比較的低いです。自動化された方法で小売事業者を攻撃するシステムを構築するには、驚くほど高度な技術が必要ですが、このような攻撃の数は劇的に増加しています。前述のSignifyd社は、過去1年間でラピッドファイヤー攻撃が146%増加していることを発見したそうです。

小売事業者がボットに対抗する方法

ボット攻撃が壊滅的で検出が困難な場合、小売事業者はどうすればよいのでしょうか? 当然に聞こえるかも知れませんが、ボット攻撃に対抗する最善の方法は、自動化されたプロテクション技術を利用することです。AI対AIと考えてください。

詐欺組織は、支払いプロセスの初期段階であるアカウント作成、アカウントログイン、追加の支払いフォームでのアカウント更新が、実際のチェックアウトよりも脆弱であることを知っています。小売事業者は、顧客になるチャンスを得る前に消費者を逃したくないので、支払いの最初のプロセスはシンプルに、ハードルを低くしているからです。

ブランドや小売事業者は、機械学習を利用してボットの典型的な行動を検出することで、これらの初期段階の不正行為から身を守ることができます。不正が検出された場合、事業者はキャプチャを撮るなど、次の手を打つことが可能です。それを人の目で確認する詐欺審査チームに照会することで、購入を遅らせることなくボットの行動を排除することができます。

悪意のあるボットがスキャルピングを行っていることを発見することは、より困難です。スキャルピング行為はグレーゾーンです。違法ではありませんが、一部の小売事業者のポリシーに違反しており、ビジネスに有害な影響を与えることは間違いありません。

確かに、販売に変わりはないでしょう。買うのがボットであろうと人間であろうと、小売事業者は販売を行います。しかし、広い視野で考えてみてください。プレイステーション5が手に入らない子どもたちのことを考えてみてください。彼らの親たちは小売事業者に腹を立てています。もしくは、マーケットプレイスで販売者に2倍の値段(またはそれ以上の値段)を支払ってプレイステーション5を手に入れたのかもしれません。今、親たちは、小売事業者が在庫を管理できず、人気の高いクリスマスプレゼントのために闇市場を作ったことに激怒しています。

詐欺組織によって損なわれるカスタマーエクスペリエンス

他には誰が、スキャルピングに対して怒っている可能性が高いでしょう? ソニーは間違いなく腹を立てているでしょう。商品がとんでもない高値で売られているため、ブランドが汚されてしまったのです。それだけでなく、ソニーと小売事業者のカスタマーエクスペリエンスが損なわれ、プレイステーション5の購入者との関係を構築する機会を失ってしまったのです。

スキャルピング行為の検出に関しては、従来の詐欺検出方法では失敗するでしょう。電話、ユーザーアカウント名、電子メールアドレスなどの属性から得られる本人データは、すべてカード所有者が購入したことを示します。ボットは、カード所有者が購入を行っていると見えるよう、アカウントを設定しているからです。

小売事業者の検出ツールは、ボット行為を検出するために、さまざまな点を確認する必要があります。スキャルピングを防ぐためには、具体的に以下の点に注目する必要があります。

  • デバイスのアクティビティ
    特に同じデバイスからの高いアクティビティ

  • 行動パターン
    クリック速度、タイピング速度、ブラウジングやナビゲーションの利用がないなど、人間以外の行動を示すパターン

  • 高速大量購入
    1つの店舗で買うには多すぎる商品を高速購入。配送先が同じだったり、同じIPアドレスから複数のお店にまたがる購入が発生していませんか?同じパスワードで複数のアカウントが作成されていませんか?同じクレジットカードが複数のサイトでテストされていませんか?

小売事業者は、このような異常を光の速さで検出して、詐欺組織を阻止しなければいけません。懸念される詐欺行為を素早く発見する唯一の方法は、小売事業者の広範なネットワークに目を向けることです。詐欺組織は通常、複数のサイトで同時にスキャルピング攻撃を行い、できるだけ多くの高額商品を奪い取ることを目的としています。

小売事業者には、機械学習と強力なデータ・プラットフォームが必要です。ブランドや小売事業者が理想とするのは、購入の過程で正当な取引と不正取引を区別できる堅牢な詐欺を阻止するソリューションと、複雑なビジネスポリシーを理解してモニタリングできる柔軟性の高いツールを組み合わせることです。

適切な柔軟性があれば、どのような状況で人間が購入していることを確認するべきか、小売事業者が指示することができます。また、状況に応じて、どのような追加の対策が必要なのかを指示することができます(たとえば、キャプチャやカスタマーサービスへの電話など)。このような技術は、入手困難な商品をボットが一掃するのを防いでくれるのです。

◇   ◇  ◇

朗報は、スキャルピングやラピッドファイヤー詐欺を阻止する技術はすでに利用可能であり、効果的であるということです。一方、あまり知りたくない事実は、スキャルパーや詐欺組織は、あなたがこの記事を読んでいる間に、新たな方法を考えているということです。

この記事は今西由加さんが翻訳。世界最大級のEC専門メディア『Digital Commerce 360』(旧『Internet RETAILER』)の記事をネットショップ担当者フォーラムが、天井秀和さん白川久美さん中島郁さんの協力を得て、日本向けに編集したものです。

この記事が役に立ったらシェア!
これは広告です

ネットショップ担当者フォーラムを応援して支えてくださっている企業さま [各サービス/製品の紹介はこちらから]

[ゴールドスポンサー]
ecbeing.
[スポンサー]