飛行機墜落事故は、交通事故よりも犠牲者数が毎年はるかに少ないのに、メディアでは非常に高い関心を集めます。この奇妙な現象は、生活のさまざまな側面にも当てはまりますが、サイバーセキュリティとサイバー犯罪に関するレポートもその1つです。
Kaspersky Labは2014年、Carbanakというサイバー銀行強盗を発見しました。被害額は10億ドルを超えたこの一件は、大きく報道されました。しかし、忘れてはならないのは、日々発生するありふれたクレジットカード詐欺のほうが、はるかに多額の損失を発生させているということです。たとえばThe Nilson Reportは、2018年のカード詐欺による損失は240億ドルに達すると見積もっており、今年はその額が大幅に増えると見ています(英語記事)。サイバー犯罪者やセキュリティのスペシャリストはカード詐欺を「カーディング」と呼びますが、カーディングは消え去るどころか増加しています。
むしろ増えているという現状は、意外に思えるかもしれません。厳しいセキュリティシステムや機械学習に基づく高度な詐欺防止ソリューションを採用する銀行が増え、そうでなくても多くの銀行がカードから金銭を盗まれるのを防ぐ措置を採っているご時世です。理論的には、新規参入した犯罪者がカード詐欺でお金を盗むのくらいは阻止しているはずですが、統計データを見るとそうなっていません。誰かがダークネットのフォーラムで「サイバー犯罪者としてのキャリアはどこから始めたらいい?」と質問したら、「カーディング」という答えが返ってくるでしょう。
幸い、銀行や決済プラットフォームが導入しているセキュリティ対策のおかげで、カーディングは以前よりも難しくなっています。しかし、詐欺対策システムが完璧に機能しているわけではないのも、残念ながら現実です。そして、他人のクレジットカードからお金を盗もうとする者向けの特殊なサービスやツールが存在し、そうしたものを販売する市場もあります。
デジタル指紋:アイデンティティを借りてカードからお金を盗む
Kaspersky Labのリサーチャーであるセルゲイ・ロズキン(Sergey Lozhkin)は、人々の「デジタルマスク(デジタルの仮面)」を販売する市場「Genesis」をダークネットで発見し(英語記事)、Security Analyst Summit 2019の基調講演でこの件について発表を行いました。デジタルマスクとは、インターネット利用者のデジタル指紋(Web履歴、OSとブラウザーの情報、インストールされたプラグインなど)、そしてその人のふるまい(オンラインで何を、どのように行うか)に関する情報で構成されたプロファイルです。
なぜデジタルマスクが販売されているのでしょうか。カーディングとはどう関わってくるのでしょうか。
デジタルマスクは、詐欺対策システムが銀行取引の際に行う本人確認に使用されます。確認しようとしているデジタルマスクが、同じ利用者に関して以前に確認したデジタルマスクと一致した場合、取引は正規のものであると判断されます。この仕組みがあれば、銀行はSMSで3Dセキュアコードを送信する必要も、取引確認の通知を利用者に送る必要もありません。
裏を返すと、犯罪者が何らかの方法であなたのデジタルマスクとオンラインバンキングの認証情報を盗み取ることに成功したならば、詐欺対策システムはサイバー犯罪者をあなたであると認識してしまい、警告を発しません。このようにして犯罪者は、気付かれることなく、あなたの口座からすべての預金を吸い上げていくことが可能となります。
他人のデバイスからデータをかき集めてGenesisで販売する者が存在するのは、こういった理由からです。そして、売りに出された情報(データ量や含まれる認証情報によって5ドル~200ドル)を誰かが購入し、そのデジタルマスクの所有者になりすますのです。
なりすましには、Genesisの利用者が開発した「Genesis Security」という無料のブラウザープラグインが使われます。このプラグインは、デジタルマスクを使って正規の利用者の仮想アイデンティティを作り直し、詐欺対策システムを欺くためのもので、詐欺対策システムが確認するパラメーターを改竄することによってなりすまし被害者のデバイスのパラメーターと一致させ、ふるまいが作成し直されるようにします。
データの収集
では、Genesisを利用するサイバー犯罪者は、販売するデータをどこから手に入れているのでしょうか。答えは簡単ながら、やや漠然としています。さまざまな種類のマルウェアから入手しているのです。
マルウェアの中にはあなたのデータを暗号化して身代金を要求するものもあれば、デバイスに入り込んでお金をすぐに盗み出すものもあります。同様に、中にはひっそりと身を潜め、可能な限りあらゆるデータを収集し、後にGenesisで販売されることになるデジタルマスクを作成するマルウェアもあるのです。
詐欺対策を回避するその他の方法
詐欺対策システムを回避する第1の方法は、「いつもと同じように見せること」です。そしてもう1つは、「まったくの新規に見せること」です。犯罪者たちは後者の方法を知っており、インターネット上にはその方法で検知を回避するためのサービスが存在します。
「まったくの新規」とは、確認対象のデジタルマスクと詐欺対策システムが認識しているその他デジタルマスクとの間に一致するパラメーターがほぼない、という意味です。たとえば、新規に見せかけようとして詐欺師が自分のPCに新しいブラウザーをインストールしたとしても、一部のパラメーター(コンピューターのハードウェア、画面解像度など)が以前に使用したデジタルマスクと一致するので、詐欺対策システムを備えるサービスにログインすることはできません。
しかし「Sphere」というサービスを使用すると、新しいデジタルアイデンティティを作成し、必要なパラメーターをすべてカスタマイズできるので、詐欺対策システムはサイバー犯罪者をまったく新規の利用者として認識します。完全に新規の利用者を疑う理由はありません。
悪意あるドッペルゲンガーにNoを
問題は、詐欺対策システムがどれほど高度であっても、こうしたテクニックが機能してしまう点です。それというのも、詐欺対策システムのアルゴリズムは、ある人が資金にアクセスしてよい人かどうかを判断する際に、犯罪者が収集するのとまさに同じデータを利用するからです。
では、この高度なカード詐欺を回避することはできないのでしょうか。
銀行の場合、対策としてはまず2要素認証を必須とするところからです。第2の要素として、指紋認証(デジタルではなく文字通りの指紋)や虹彩スキャン、顔認証のような生体認証を使用するのも検討してください。また、新たに登場するさまざまな種類の詐欺について知っていなければなりません。知らなければ、撃退するための対策を導入できません。
利用者の立場では、この種のカード詐欺から身を守る対策はただ一つ、自分のデジタルマスクを誰にも収集されないようにすることです。そのためには、強力なセキュリティ製品をインストールして、自分のデータを勝手に使おうとするマルウェアを一切寄せ付けないようにすることが重要です。