不正ゲーム②

Carole.Ann

前回のBlogに続き、eBay(オンラインオークション)における不正検知のケースについてお話ししましょう。

 

不正者は優れたROIを求めている

ビジネスがROIを考えるのと同じ方法で、不正者はそのリスクに対して大きな効果を求めています。彼らは、大規模に食い物にすることができる企業のシステムや手続き内の弱みを常に探し回っています。不正検知チームの仕事は、その不正行為を不可能にすることというよりは、むしろ高くつくようにすることを考慮することを心に留めておくべきです。

 

実際には、アカウントの乗っ取りが最も大きな問題のようです。不正者は、まず新しい不正の一覧リストを作るためにログインします。eBayは、アカウント履歴におけるIPアドレスの追跡を始め、新しいリストが生成される際に比較のためにそれを活用します。不正者は最終的に、販売者の既存の一覧リストを自分のものに改ざんします。eBayは、この改ざんを検証できるようにするために、そのサイトの変更をいくらか遅らせます。しかしながら、不正者はeBayがオークションの最後の12時間は、方針としてその変更を遅らせないことを見つけます。

 

これは、追跡ゲームのように感じます。eBayでは、これを「ネズミ捕り」に例えています。その他の「クリエーティブな」不正の動向を示しましょう。

 

不正者の情報には、eBayの外部で買い手に処理させるための重要な交渉情報の詳細が含まれています。それは、eBayの商用プラットフォームのセキュリティ基準を逃れるためです。そのため、eBayは投稿時におけるeメール内の単語をサーチします。それを察知した不正者は、交渉内容をイメージ情報として投稿し始めます。

 

不正スキームにおける抜け目のない新しい手口は、不正検知チームに対する興味深いパズル問題を提起します。不正者による一覧リストが除去され、アクセスをブロックする基準を設けたにも関わらず、不正者が再度現れたことにチームは気付きます。まだ販売されていないアイテムが自動的に投稿されるように手配されていることに、チームは最終的に気付きます。自動化された不正検知のためのルールは、あらゆる不正の手口をそのまま再現していきます。

 

不正者の手口は精巧なものになってきています。この「組織化された」犯罪組織の動きは速く、不正仲間と販売チャネルを通じてあちらこちらに広がっていきます。

 

次回は、このような進化していく不正を防ぐための知的な方法をお伝えします。

 

(Carole Ann)

次のBlog

Carole Ann女史は、米国Sparkling Logic社の創設者であり、ブレイズ・コンサルティングのパートナーです。当ブログ記事は、ご本人の許可を得て翻訳したものです。