オンライン詐欺のためのさまざまなサービスが出現し、サービスを悪用した高度な攻撃が広がる恐れがある。
オンライン詐欺を助長する「Fraud as a Service」(FaaS)が台頭――RSAセキュリティは最新のオンライン犯罪動向に関する説明会を開き、犯罪者向けのさまざまなサービスが出現していると指摘した。犯罪の手口が巧妙化し、対策が難しくなりつつある。
同社は、金融機関やオンラインサービス企業向けに提供するオンライン詐欺対策サービスを通じて、「詐欺コールセンター」「クレジットカード確認」「本人確認の妨害」といったFaaSが実在することを確認したという。
例えば「詐欺コールセンター」のサービスは、犯罪者の依頼を受けて活動する。正規ユーザーになりすまして金融機関に連絡し、住所などの登録情報を勝手に変更してしまう。また、金融機関からの連絡を正規ユーザーと偽って受けたりする。「クレジットカード確認」では、犯罪者が不正に入手したクレジットカード情報を実際に悪用できるか確認してくれるというものだ。
犯罪者はこうしたFasSを悪用することで、巧妙な手口の攻撃を仕掛けられるようになり、金銭を荒稼ぎすることが予想される。同社が想定するシナリオでは、熟練した犯罪者がオンラインサービスのログイン情報を不正に利用して、商品を購入する。この商品を「ミュール」という犯罪支援者を使って現金化するという。
ログイン情報の不正利用に気付いた企業が本人確認を行う場合、犯罪者の依頼を受けたFaaSの提供者が正規ユーザーになりすまして対応してしまう。犯行にFasS提供者が加わるため、犯罪者自身にもリスクがあるが、警察機関などの追及をかわすことができ、巨額の利益を手にしている可能性がある。
オンラインサービスのログイン情報を盗み取られた後では、正規ユーザーやサービス事業者がこうした攻撃にすぐに対処するのが難しく、RSAセキュリティはログイン情報が盗まれない対策を強化する必要があると提起している。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
Copyright © ITmedia, Inc. All Rights Reserved.