サイバーエリアリサーチ株式会社

6.4.4 Froud Detection

Fraud Detectionとは

「Fraud」とは、「詐欺」「不正行為」といった意味です。「Fraud Detection(不正の検知)」と言った場合は、オンライン取引等での不正取引やフィッシング詐欺等、インターネット上での詐欺行為・不正な操作の検知というニュアンスが強くなります。

ネットバンキングやEコマースの浸透に伴い、オンラインでの支払いや金銭の授受は珍しくなくなっています。一方で、ネットバンキングでの不正操作等の被害も発生し、不正行為への対策が強く求められています。

アクティブ認証とパッシブ認証

「認証要素」とは、大きく分けて「1.本人が知っている事」・「2.本人が持っているもの」・「3.本人でしかありえない特徴」の3つであると言えます。
パスワード、「秘密の質問」の答えなどは1つ目、クレジットカードなどは2つ目、指紋・虹彩・静脈などの身体的な特徴や、筆記のクセなどは3つ目に当たります。現在オンライン認証場面で多く取り入れられている「ワンタイムパスワード」は、本人しか所持していない携帯電話や専用端末でパスワードを受け取り入力するものなので、1と2のハイブリッド型と言えるでしょう。3は確実性が高いですが、指紋や虹彩などの認証には専用の機器などが必要になるため、オンライン認証で使うのは現実的ではありません。

多くの認証ソリューションはユーザからのアクション(入力や提示)が必要です。このような認証技術の事を「アクティブ認証」と言います。
一方、ユーザの能動的なアクションを必要としない「パッシブ認証」と呼ばれる技術も存在します。現在多くのネットバンキングなどで使われている「リスクベース認証」という技術は、「パッシブ認証」の代表格です。

パッシブ認証の場合、ユーザ側で特別な操作を行う必要がありません。煩雑な操作をさせることなくセキュリティ性を向上させることができるため、ユーザビリティの向上につながるという特徴があります。

リスクベース認証とは

リスクベース認証とは、ユーザのアクセス履歴などを元に「不正のリスク」を判定し、高リスクと判定された場合には追加認証などを行うという認証技術です。
ユーザのデバイス情報やIPアドレス・利用プロバイダ、ユーザの行動パターンなどをあらかじめ記録し、「普段の行動パターン」と比較した際に違いが見られると「高リスク」と判断します。

IDやパスワードといった認証情報を第三者が入手した場合、それだけでは正規のユーザと第三者との区別をつけることができず、悪用を止めることができません。
しかし、リスクベース認証を併用することによって、万一認証情報が外部に流出したとしても、正規のユーザとの行動パターンの違いなどを元にリスクを判定し、不正なアクセスを水際で防ぐことが可能になります。

リスクベース認証には、様々なIP Intelligence技術が活用されています。
IP Intelligence技術による不正アクセスの検出については「6.4.5 不正アクセスの検出」で詳しく解説します。
リスクベース認証

まとめ


  • 「Fraud Detection(不正の検知)」は、オンライン取引等での不正行為を検知すること。
  • 認証には、大きく分けて「アクティブ認証」と「パッシブ認証」がある。
  • パッシブ認証の代表的なものとして、「リスクベース認証」という認証技術がある。

ページの先頭へ