数年前、QR決済に代表されるFintechサービスが日本でも登場し、キャンペーン等の効果も相まって、たちまち多くの人々に広がりました。同時に、一部のサービスでは悪意者による大規模な不正行為にさらされ、ビジネスが深刻な被害を被る事態も発生しました。あれから数年、QR決済だけでなく様々なデジタルサービスが登場し、悪意者たちは手を変え品を変え、新たな不正行為を実行しています。
悪意者による大規模な不正行為のリスクが高まる一方、本リスクへの対応策が世の中で標準化されておらず、多くのデジタルサービスが被害を受け続けていることを課題に感じていました。このような状況に対して、NRIセキュアでは本リスクをデジタルクライムリスクと定義し、独自のリスク分析フレームワークを構築の上、様々なお客様に提供しています。本記事では、NRIセキュアのリスク分析フレームワークが何を重視しているか、リスクに対してどのようにアプローチしていくかを解説します。
デジタルクライム(サービス不正利用行為)とは
まず最初に読者の方々と前提を合わせるため、本稿で取り扱うサービス不正利用行為(=デジタルクライム)について、実際に世の中で発生した事案を基に定義を行います。
従来、情報セキュリティとは、内部・外部×意図・偶発の脅威から、情報資産を機密性・完全性・可用性の観点で保護することを指します。このうち、QR決済を代表とする一般顧客向けのデジタルサービスでは、多数の一般利用者がサービスを利用することから、特に外部×意図的脅威として、「サイバー攻撃」に焦点を当ててリスク分析が実施されてきました。サイバー攻撃は、SQLインジェクションなどを代表とする通り、システムに想定外の挙動、すなわちシステムバグを引き起こす行為が大多数を占めます。
情報セキュリティリスクの考え方
一方で、最近のデジタルサービスで発生した以下の不正行為は、システム的には仕様通りの挙動であり、サイバー攻撃とは異なることが分かります。
- デジタルサービスの仕様上の脆弱性への攻撃
QR決済サービスにおいて、悪意のある者が自ら作成したアカウントに第三者のクレジットカードを紐付けて決済を実施する - デジタル技術を用いた詐欺行為
著名人のDeepFake動画を作成し、一般人を自社サービスに誘導する - 陳腐化した既存技術への攻撃(デジタル技術活用)
3Dプリンタなどを用いて高度な偽造身分証を作成し、その身分証を用いて金融サービスの契約を締結する - 犯罪行為を最終目的としたサイバー攻撃
フィッシング攻撃などにより認証情報を窃盗し、他人のアカウントを犯罪行為に利用する
代表的なデジタルクライムの種別
NRIセキュアでは、サービス仕様上正しいシステムの挙動をしているが、その挙動を悪用する行為をサービス不正利用=デジタルクライムと定義し、上記の4つの不正行為を代表的なパターンとして整理しています。
なお、上記リスクDは、リスト型アカウントハッキングなどが契機となって実施されるため、デジタルクライムとサイバー攻撃は一連の不正行為と見なすことができ、この区分けに意味があるのか疑問を持つ方もいらっしゃるかもしれません。本疑問への回答としては、セキュリティ対策として不正ログイン対策のみ(=サイバー攻撃対策のみ)ではなく、不正ログインを前提とした(=犯罪行為に利用される可能性を前提とした)対策も必要であることを示すため、代表パターンに組み入れているという回答になります。
補足
上記の説明が少しわかりにくいと感じる方には、国連のウェブサイトに記載されるサイバー犯罪の定義も閲覧することをおすすめします。当該ウェブサイトでは、サイバー犯罪を「サイバー固有犯罪」と「サイバー利用犯罪」の2つに大きく分けて定義しています。技術の進歩に伴い、さまざまなビジネスがデジタル技術を利用して実現されるようになった結果、サイバー利用犯罪が多様化し、急増していると私たちは認識しており、この脅威をデジタルクライムと呼称しています。
引用
サイバー犯罪について、国際的に合意された定義はありませんが、2つのはっきりとした領域と、オンラインでの子どもの性的搾取・虐待という具体的な犯罪類型があることは確かです。サイバー利用犯罪とは、フィッシング詐欺や不正薬物のオンライン売買、マネー・ローンダリングなど、従来型の犯罪がオンラインで実行されることを指します。もう1つの領域はサイバー固有犯罪で、ランサムウェア攻撃やマルウェア、国の重要インフラに対するハッキング攻撃など、犯罪の実行にコンピューターが必要になるものを指します。
■デジタル世界での犯罪 | 国連広報センター
https://www.unic.or.jp/activities/economic_social_development/social_development/crime_drug_terrorism/kyotocongress/crime_congress_digital-crime/
デジタルクライムに対抗するには
次にデジタルクライムへの対策方法について解説します。デジタルクライムは、前述の通り新しいビジネスモデルや技術に対する脅威、または既存ビジネスモデルへの新技術を用いた脅威となるため、多くは過去に経験されたり顕在化したりしていない新たなリスクとなります。特に他社に先行して新たなビジネスモデルを構築する際には、先行研究などで言及されていない新たなリスクが顕在化する可能性があるため、一層の注意が必要です。
そのため、デジタルクライムのリスクは、新たなリスク特有の以下の特徴を持つことが多くなります:
- ガイドラインなどで対策方法が記載されていない
- 法規制上の対応が定まっていない
また、通信事業からFintech事業に展開するなど、従来提供してきたビジネスとは異なる領域に進出した場合、事業上想定されるリスクの抽出やリスクが顕在化した場合の対処が上手く行えないことがあります。
デジタルクライムのリスクは先述の特徴を持つため、ガイドラインに準拠する方法や事業上想定されるリスクを担当者が検討し抽出するリスクベースアプローチでは、リスクを完全に抽出することができず、また事故が発生した場合の迅速な対処も難しくなり、最終的にはビジネスに致命的なダメージを与える事案となる場合があります。
これら特徴を持つデジタルクライムリスクに対処するためには、どのようにすべきでしょうか。弊社では、ビジネスプロセスアプローチと呼ばれるリスク分析手法をベースに、アナロジー的なアプローチやアブダクション的なアプローチを組み合わせることで、リスクを分析し対策を検討する支援を行っています。
補足
ビジネスプロセスアプローチによるリスク分析とは、複数の事業者の連携やシステム/人的運用の複合など、複雑なビジネスプロセスを持つ対象に対して、それらの関係性を可視化しながらリスクを分析する活動です。リスクベースアプローチの一環となるリスク評価手法ですが、最初にビジネスモデルやシステムの構成を理解し、それを評価することに重点を置くことで、ベースラインアプローチや単純なリスクベースアプローチでは見逃されがちな複数要素を組み合わせたリスクを抽出することができます。
デジタルクライムのリスク分析の進め方
デジタルクライムのリスク分析の進め方を解説いたします。ただし、この分野は国際的な標準がまだ策定されていない領域であり、当社では既存のリスク分析手法をベースにした手法を使用しております。その点、ご了承ください。
当社が提供するデジタルクライムのリスク分析では、ビジネスプロセスアプローチに基づき、まずはビジネスモデルやビジネスプロセス上の関係者や関係性を可視化します。その後、以下の2つのアプローチによりリスクを包括的に抽出いたします。
- ①脅威事例ベースのアプローチ(アナロジー的アプローチ)
類似するビジネスモデルで発生した脅威事例を考慮しながらリスク分析を行います。 - ②アクションベースのアプローチ(アブダクション的アプローチ)
各関係者の関係性とアイデンティティに焦点を当て、各アクションに伴う予想される脅威を特定の基準で検討し抽出いたします。
脅威ベースのアプローチでは、同一ビジネスおよび類似のビジネスで既に発生している脅威事例を基に、今回の分析対象で同様または類似の脅威が発生しないかを分析します。この取り組みにより、競合サービスで既知の脅威を確実に防ぐことができます。さらに、類似のビジネスモデルで発生した脅威を参考にすることで、同様の脅威が発生するリスクを防ぐことができます。
たとえば、QR決済においては、以下のような類似のサービスがあります。
- バーチャルポイントカード:スマホでサービスにログインすると表示されるバーコードを使用して決済するサービス
- プリペイドカード:クレジットカードなどからチャージを行い、その金額で決済するサービス
バーチャルポイントカードでは、不正ログインを起点とした実店舗でのポイントの不正利用が2010年前半から発生していました。一方、プリペイドカードでも、盗難クレジットカードを使用してチャージを行う脅威が存在しており、こちらも2010年代前半から問題視されてきました。このように、脅威ベースのアプローチを用いることで、2010年代後半のQR決済サービスが登場し始めた時点においても、リスクを特定することが可能となります。
類似サービスからの脅威類推
アクションベースのアプローチでは、各関係者が悪意者となったケースとやり取りの最中に悪意者が介在するケースを想定して分析を実施していきます。悪意者となるパターンとしては、以下の三つが考えられます(NIST SP800-63などを参考に整理)。
- 正規利用者が成り代わられるケース(不正アクセスなど)
- 別人が正規利用者を名乗るケース(偽造身分証の利用など)
- 利用者が悪意を持っていたケース(店員による内部不正など)
例えば、送金機能を評価する場合、送金する人・送金を受け取る人・送金する人と受け取る人の双方が悪意者であるケースを想定し、リスクを分析していきます。このような分析を各アクションに対して網羅的に実施することで、リスクを抽出します。
送金行為における悪意者介在パターンの整理
まとめ
本稿では、NRIセキュアが提供するデジタルクライムに対するリスク分析に関して、その必要性と概要を解説しました。本アプローチは、今後ますます重要になってくると考えます。より詳細な情報に興味がある方は、以下のサービスページよりお問い合わせいただければ幸いです。
<関連サービス>