サイバーエリアリサーチ株式会社

6.4.5 不正アクセスの検出

リスクベース認証とIP Intelligence

ユーザのアクセス履歴などを元に不正アクセスのリスクを判定する認証技術を「リスクベース認証」と呼びます。
ログイン後のユーザの操作はもちろん、デバイス情報・IPアドレス情報・ログイン時間や頻度など、さまざまな情報を元に、不正アクセスのリスクを判定するアルゴリズムが働いています。

リスクベース認証には、さまざまなIP Intelligence技術が活用されています。ユーザのIPアドレスを元に位置情報を判定し、普段ユーザがどこからアクセスしているかという情報をあらかじめ記録しておくことで、そこから大きな乖離があった場合や、現実にありえない位置情報の変化があった場合などに「不正アクセスのリスクが高い」と判断することができます。

下図は不正が疑われるアクセスの例です。ネットバンキングのユーザページのログを想定しています。
このユーザの行動履歴から、いつもは東京からアクセスしているということがあらかじめ分かっている場合、このページに突然上海からアクセスがあった場合、不正なアクセスのリスクが高まります。 また、同一口座であるにも関わらず、東京からのアクセスの15分後に大阪からのアクセスという、現実的ではない移動が見られます。これも、同一人物が使っているのかどうか疑わしい状況だと考えられます。
このようなアクセスを「高リスク」と判定し、追加認証や一時的なトランザクションの遮断を行うことによって、不正アクセスの被害を未然に防ぐことが可能です。不正アクセス

口座の不正利用を検知

複数の口座へのトランザクションを俯瞰的に見ることで、不正に使われている可能性の高い口座を検知することも可能です。
例えば、同一のIPアドレスから多数の口座へのログインが見られた場合、複数口座の開設を許可していない場合は、不正な複数口座開設が疑う必要があります。
逆に、一つの口座にプロバイダ等が異なる複数のIPアドレスからのログインが見られる場合、口座の不正な利用が疑われます。

IP Intelligence技術の精度と不正アクセス検出

IP Intelligence技術は、IPアドレスと各種情報を紐づけたデータベースによって成り立っています。データベースの精度の高さは、は、活用場面の拡大に直結します。ネットバンキングでのトランザクションのように高いセキュリティ性が求められる場面では、精度の低いIPアドレスデータベースは使用に耐えません。

弊社は日本国内唯一のIP Inteligenceデータベースベンダーとして、会社の設立当時から今に至るまでIPアドレスの調査及びデータベースの更新を行っています。弊社が提供するIPアドレスデータベース「SURFPOINT™」は、サイバー犯罪の捜査・不正アクセス対策・リスクベース認証などの、高い精度が求められるさまざまなソリューションに活用されています。
「SURFPOINT™」の精度を維持・向上させる取り組みに関しては「4.1.4 DFLS(Daily Feedback Loop System)とは」をご覧ください。


まとめ

  • ユーザのアクセス履歴などを元に「不正アクセスのリスク」を判定する認証技術を「リスクベース認証」と呼ぶ。
  • リスクベース認証や不正な口座利用の検知にIP Intelligence技術が使われている。
  • 高いセキュリティ性が求められる場面では、高精度のIPアドレスデータベースが必要となる。

ページの先頭へ