アカマイテクノロジーズは7月20日、AI(人工知能)を活用し、サイバー犯罪者のボット(コンピュータを外部から遠隔操作するためのウイルス)攻撃によるログイン試行を抑止し、アカウントの乗っ取りを防ぐ新ソリューション「Account Protector(アカウントプロテクター)」を発表した。同日開催された製品発表会では、アカマイテクノロジーズプロダクトマーケティングマネージャーの中西一博氏が新ソリューションの概要を説明した。

  • アカマイテクノロジーズプロダクトマーケティングマネージャーの中西一博氏

近年、国内外問わずアカウントを乗っ取る犯罪が多発している。犯罪者はボットによる攻撃で有効なIDとパスワードを盗んでリスト化し、入手したリストを用いて不正送金や不正購買などを実行している。

NTTドコモは2020年9月、同社の電子決済サービス「ドコモ口座」などを悪用した不正引き出しの被害にあったと発表した。被害額は合計で2800万円を超える。警察庁は2021年3月、容疑者グループが約3600件の口座情報や約600件のメールアドレスを悪用していたことが分かったと発表している。

  • 2020年9月11日にNTTドコモが発表した「ドコモ口座不正利用についてのお知らせ」

こうした犯罪は一般的に、指示役と「買い子」と呼ばれる実行役で行われているという。指示役がなんらかの手段で入手した精度の高い認証情報を「買い子」に渡し、不正の実行の際には、実行犯が手動でサイトにログインし指示された不正行為を行っている。

「アカウントの乗っ取りを防ぐには、ボットによる不正ログイン試行と、人間による手動の不正行為の両方を検知して阻止しなければならない」と、中西氏は説明した。

【関連記事】
≪新型コロナの影響でOffice 365の利用増、年平均7回アカウントの乗っ取りも≫
≪日本企業におけるIoT/OT機器を狙うサイバー攻撃の実態とは?≫

「Account Protector」は、AIの機械学習により「機械的な振る舞い」を検知して、Webサイトへのアクセスが人間によるものなのか、ボットによるものなのかを検知して、ボットによるログイン試行を抑止する。

  • 「Account Protector」のサービスイメージ

さらに、AIが個々の利用者が普段利用している環境を学習し、第三者による「異常ログイン」を識別する(行動的生体認証)ことが可能。この2つの手法により、サイバーキルチェーンに則ったアカウント乗っ取りの対策が実現する。

「Account Protector」には、同社が以前から提供しているソリューション「Bot Manager Premier(BMP)」が組み込まれている。同ソリューションは、1アクセスごとにマウス・タッチ操作の軌跡や、キー入力、GPS動作、加速度センサなどの振る舞いを機械学習により分析し、人間によるアクセスなのか、ボットによるアクセスなのかをリアルタイムに判断する。

  • 「Bot Manager Premier(BMP)」サービスイメージ

人間は不規則な動きをするが、ボットはプログラムによる規則性のある動きをする。その違いを検知し、人間に対しては通常のログイン画面を表示して、ボットには多要素認証の画面の表示など異なるアクションを実行する。

「あるサイトで、BMPによる対策をやめてから数カ月後にリスト型攻撃による被害が報告された。アカウントチェッカーは常に脆弱性な状態のサイトを狙っている」と、中西氏は実例を交えてボット攻撃対策の重要性を強調した。

また前述した通り、新ソリューションではBMPでボットによるログイン試行を抑止するだけでなく、機械学習を使った行動的生体認証で、買い子の手動操作によって行われる異常な振る舞いも検知する。

異常な振る舞いの合図となるのは、利用しているISP(インターネットサービスプロバイダー)、IPアドレス、GPSから得られる地理的な位置などのネットワーク特性や、普段利用しているデバイスとの違い、他の利用者の行動との比較、BMPで検知されたリスクと照合結果などだ。これらがシグナルとなってAIが総合的に分析し、異常な振る舞いを検知する。

レポート画面では、ダッシュボードでリスク別のユーザー数や、ユーザーアクティビティのサマリー、APIの目的ごとのユーザーのアクティビティのサマリーなどが確認できる。

  • 「Account Protector」レポート画面

「ネットワーク全体からの情報を総合的に分析することで、初めてサイトにログインするアカウントや、しばらくサイトにログインしていなかったアカウントなどを利用した場合でも、第三者のアクセスということが分かる」(中西氏)。

以上より、新ソリューション「Account Protector」の特徴は、利用者のアクセス時にリアルタイムにリスクを判定してポリシーを適用できること、BMPによる振る舞い検知と行動的生体認証技術の組み合わせでアカウント乗っ取りを防止できること、同社独自のインテリジェンスを活用して、さまざまな業種で利用できる汎用性があることとまとめることができる。

近年増加している攻撃者は、簡単に入手できるアカウントチェッカーツールとプロキシサーバを組み合わせたうえで、IPを分散させて攻撃検知の回避を常に試行している。「ボットは大量のトラフィックを一気にかける特徴があると思われているが、実はそうではない。ボットが来ていないと誤解するユーザーがたくさんいる」(中西氏)。