米国では、個人情報漏洩事件で流出したユーザーIDとパスワードがブラック・マーケットで大量にセット再販されており、犯罪グループはこれらの情報とボットを使って、ログインできるWebサイトを探し出しています。このようなサイバー犯罪への対抗策として、リスク評価モデルの活用が注目されており、アイテ・グループでは、この分野に取組を「Arkose Labs Case Studies: Stopping Fraud by Making Attacks Too Expensive」としてまとめています。
■ 不正行為にも自動化の波
米国では、個人情報漏洩事件が頻発した結果、サイバー犯罪者は、ブラック・マーケットで多量の個人データ(ユーザー名とパスワードのセットなど)をいつでも大量に入手できる環境にある。これら潤沢な「リソース」を活用するため、犯罪者グループは、ボットを活用して「サイバー攻撃の自動化」を推進している。
例えば、犯罪者は、不正に入手したユーザーIDとパスワードの組み合わせが、どの金融機関やECサイトで使えるか、ボットを使って自動的に次々と確かめている。一旦、ログインできるサイトが見つかれば、ハッカー自身が不正行為を行う。しかも、このようなID/パスワード自動確認ツールは、無料/ローコストで流通している。