年末のホリデーシーズン(すなわちショッピングシーズン)は、オンライン小売業者が詐欺被害を最も受ける時期である。オンライン小売業者が直面するさまざまなタイプの詐欺を認識することが、詐欺から身を守るための第一歩となる。
要点
- 米国の小売業者は、インフレ率の上昇と迫り来る景気後退のなか、ホリデーシーズンにおける不正行為の増加リスクに直面している。
- 生成 AI などの高度なテクノロジーは、巧妙なフィッシング詐欺やその他の不正行為を大規模化するために詐欺師によって利用されている。
- 小売業者は、消費者と自社ビジネスの保護のために、サイバーセキュリティ対策を強化し、リアルタイムの不正検出ソリューションを導入する必要がある。
カレンダーの最後の数か月は、どの小売業者にとっても非常に重要なものである。米国では、ブラックフライデー(11月の第四木曜日のサンクスギビングデーの翌日)、サイバーマンデー(ブラックフライデーの翌週の月曜日)、クリスマスの売上は、昨年だけで合計約9,370億ドルに達した。
また、この時期は通常、小売業者に対する詐欺行為が増加する時期でもあり、昨年は、サンクスギビングデーからサイバーマンデーまでのロング・ウィークエンド(連休となる週末)中に、1日あたりの詐欺行為が82%も増加した。しかし、専門家によると、今年のホリデーシーズンは多くの要因が重なり、詐欺師にとってさらなる好機となるため、小売業者は特に気を引き締める必要があるという。
第一に、インフレ率の上昇と今後12か月以内の景気後退の予測という組み合わせは、予算がますます厳しくなる消費者が偽の”お買い得情報”の餌食になる可能性が高くなることを意味する。第二に、生成AIなどの最新テクノロジーにより、詐欺行為はこれまでよりもはるかに大規模に実行できるようになっているのだ。
最後に、詐欺師が犯罪の責任を問われることはほとんどないため、犯罪は詐欺師にとって実に好都合なようだ。米国における新たな規制により、マーチャントや銀行は詐欺取引の責任を問われるようになったが、その背後にいる者は通常処罰されない。一般的に、銀行が責任を負う可能性が高いのは、詐欺に実際のカードが関与している場合であり、オンライン決済のようにカード情報だけで決済されるカード非提示取引の場合は、マーチャントにコスト負担が押し付けられる可能性が高い。
以下では、このホリデーシーズンにマーチャントが注意すべき4種類のオンライン詐欺を紹介する。
1.悪意のある生成AI
WormGPTやFraudGPTのようなサイバー犯罪向けの生成AIツールが、ダークウェブ(検索エンジンにインデックスされていないWebサイト)で、無料で手に入るようになっており、AIは詐欺行為を加速するために利用されている。FraudGPTは、非常に信憑性の高いフィッシング詐欺を作成することが可能で、さらに、信頼できる小売サイトのように見えるが、実際には偽のWebサイトからウイルスやマルウェアを起動させることができる。また、WormGPTは、チャットから得たデータを使用して、カスタマーサポートエージェントや信頼できる小売ブランドを模倣し、消費者を騙して機密情報(クレジットカード情報など)を提供させたり、オンラインマーケットプレイスで偽造品を作ったり、本物のように見える偽造クーポンやプロモーションを生成したり、偽のオンラインレビューを作成したりすることができる。
メールセキュリティ企業のSlashNextは、無防備なアカウントマネージャーに偽の請求書の支払いを促すメールの作成をWormGPTに依頼する実験を実施した。研究者によると、WormGPTのメールは非常に説得力があるだけでなく、戦略的かつ狡猾で、高度なフィッシング攻撃の可能性を示していたという。
マーチャントには何ができるだろうか?
この最新の脅威から身を守るために、マーチャントは、意識向上プログラムなど、自社のあらゆるサイバーセキュリティトレーニングが詐欺に対する最新の警告サインを含むよう、継続的に更新されていることを確認する必要がある。これには、緊急性を示唆する文言などが含まれる。
2.Webサイトのなりすまし
マーチャントが注意すべきもう一つのオンライン詐欺のタイプは、オンライン詐欺を実行するためにフィッシングを仕掛けることを目的としたWebサイトのなりすまし、あるいはブランドのなりすましである。サイバー犯罪者は、オリジナルのサイトと同じフロントエンドと、ほとんど変わらないドメイン名でビジネスサイトを複製するため、ユーザーは偽サイトであることに気づかず、個人データを信頼してしまう可能性が高い。2022年には、470万件を超えるフィッシング攻撃が発生した。
なりすましサイトが存在している限り、ブランドは金銭的にも評判的にもダメージを受け、顧客離れにつながる。Memcyco(サイバーセキュリティプラットフォームを提供するイスラエル企業)のRan Arad氏は、ある重要な期間を「Exposure Window(エクスポージャー期間)」と呼んでいる。これは、偽サイトが脅威インテリジェンスソリューションによって検出されてから、最終的に削除されるまでの期間である。Arad氏の言葉を借りれば、「この重要な期間に、無防備な顧客は簡単に偽サイトに誘導され、金銭的損失やデータ漏洩、個人情報の流出に晒される可能性がある。憂慮すべきことに、多くの企業は現在、この被害を受けやすい期間中に何人の顧客が詐欺の餌食になったかを判断するためのインサイトを欠いている」。
テクノロジーの助けを借りることで、ブランドはこうしたなりすましサイトを閉鎖することができる。しかし、詐欺によって顧客が金銭を騙し取られるのを防ぐには、そのプロセスに時間がかかりすぎる場合がある。
マーチャントには何ができるだろうか?
マーチャントは、詐欺行為をリアルタイムで特定できるWebサイト詐欺検出ソリューションを導入すべきである。これによって、被害の範囲や顧客情報の流出を可能な限り、最小限に抑えることができるだろう。
3.ギフトカード詐欺
ギフトカードの売上は2030年までに2兆ドルに達すると予想されており、特に12月頃はギフトカード詐欺も増加すると予想されている。毎年12月中旬にはギフトカードの購入が急増するが、クリスマスイブにはギフトカードの売上は6~7倍という驚異的な増加を見せる。
ギフトカード詐欺は、詐欺師がユーザーのクレジットカード情報を盗み、それを使ってギフトカードを購入することで発生する。この種の詐欺が効果的なのは、被害者に手がかりをほとんど残さないからである。詐欺師は、身分証明書を必要とせずに、盗んだギフトカードで買い物をすることができる。消費者にとって、このお金を取り戻すことは事実上不可能である。
マーチャントには何ができるだろうか?
マーチャントは、ギフトカードの大量購入や繰り返しの購入を制限することで、ギフトカード詐欺を防ぐことができる。また、個々のギフトカードを追跡する内部システムを導入することで、詐欺師による不正利用を防ぐことができるだろう。
4.ボット攻撃/アカウントの乗っ取り
アカウントの乗っ取りは、小売業界に古くからある脅威であるが、eコマース詐欺組織の増加に伴い、新たな展開を見せている。自動化によって見込みのあるクレデンシャル(認証情報)を成功するまで迅速にサイクルさせることができるため、悪意のあるアクター(攻撃者)は、クレデンシャルスタッフィング(盗んだユーザー名とパスワードを使用して、ユーザーアカウントに不正にアクセスするサイバー攻撃)やブルートフォース(総当たり)攻撃を容易に行うために不正なボットを利用している。このような攻撃は、小売顧客をアカウントから締め出し、詐欺師に機密情報を提供し、事業収益の損失を招き、コンプライアンス違反のリスクを高める可能性がある。
2022 年にはeコマースサイトに対するボット攻撃が71%増加するなか、マーチャントは二重の苦境に陥っている。一方で、マーチャントにとって、ユーザーアカウントを安全に保つことはますます難しくなっている。同時に、これを怠ると、不正取引、支払い詐欺、ユーザーの不信感、ブランド評価への悪影響など、ビジネスに悪影響を及ぼす可能性がある。
こうしたサイバー犯罪者や犯罪組織の巧妙化は急速に進んでおり、小売業者にとって大きな脅威となっている。Signifyd(eコマース向け不正防止テクノロジーソリューションを提供する米国企業)のリスク・チャージバックオペレーション担当副社長であるPing Li氏は2020年に、同社のコマースネットワークに対する自動化された攻撃が146%増加したことを強調している。「我々は、クレデンシャルスタッフィングからアカウントへの侵入、ラピッドファイヤー詐欺攻撃(商品購入の際の支払プロセスを全て盗み取るもの)、転売目的での人気商品の在庫買い占めまで、詐欺組織があらゆる目的でボットを使うのを見てきた」。
マーチャントには何ができるだろうか?
マーチャントは、最新の詐欺手口を特定するテクノロジーに投資すべきである。これらのツールの多くは、機械学習と人工知能を使用して、悪意あるアクターによるボット攻撃から防御してくれるだろう。
今年のホリデーシーズンはビジネスの保護を強化しよう
ホリデーシーズンにおける詐欺行為が急増に備えるなか、小売業者は、さまざまな要因から警戒を強化することが重要となっている。経済情勢が不透明なこの時代、特に詐欺行為が成功した場合はマーチャントがその被害者に弁済する責任を負うことから、さらなる保護対策の導入が不可欠である。
詐欺師もまた、新しいテクノロジーを悪用している。サイバーセキュリティのトレーニングや意識向上などの内部ポリシーによって、保護を強化することができる。しかし、今日のブランドにとって防御の最前線となるのは、Webサイトを含む複数の攻撃ベクトル(攻撃者がネットワークやシステムに侵入する方法)において、詐欺行為をリアルタイムで特定する詐欺検出テクノロジーなのだ。
※当記事は米国メディア「Entrepreneur」の12/8公開の記事を翻訳・補足したものです。
