ChatGPTを悪用した攻撃にも注意、サイバー攻撃で狙われやすい業種とは？

セキュリティサービスを手掛けるサイバーセキュリティクラウドと不正注文検知サービスを手掛けるかっこは3月1日、企業におけるサイバー攻撃やネット上の不正被害の動向を語る説明会を開催した。本稿ではクレジットカード不正利用の動向と、その具体的な手口についてレポートする。

サイバー攻撃で狙われやすいのは卸売業・小売業

近年のインターネットの利用増加に伴って、サイバー攻撃数も増加傾向にある。サイバーセキュリティクラウドの報告によると、2022年には1ホスト当たり1秒間に約17回の攻撃を受けていることが明らかになっている。DX（デジタルトランスフォーメーション）の加速により、今後さらにサイバー攻撃数が増加すると考えられる。

そうした中、サイバーセキュリティクラウドの代表取締役 CTOを務める渡辺洋司氏は「今後、特にサイバー攻撃で狙われる可能性が高いのは卸売業と小売業だ」と注意を促していた。特にEC（Electronic Commerce：電子商取引）サイトを対象とする攻撃に注意が必要なのだそうだ。

サイバーセキュリティクラウド代表取締役 CTO 渡辺洋司氏

最近はオンライン上で商品を売買する場面も増えている一方、事業者がECサイトを常に最新版にアップデートし続けることは難しく、古いバージョンのまま使い続けてしまうため、脆弱性を突かれて情報漏えいにつながる例もあるという。

また、なりすましやクレジットカードの不正利用にも注意が必要だ。漏えいしたクレジットカード情報は闇サイトなどを通じて売買されている場合がある。ECサイトは決済を伴うこともあり、狙われやすいそうだ。

こうした状況に対して、渡辺氏はEC事業者に対し、国際的なクレジットカードブランドが推奨している「EMV 3-Dセキュア」を導入することを勧めている。「EMV 3-Dセキュア」は、不正利用対策として、クレジットカードの利用者に対する本人認証サービスだ。ワンタイムパスワードや生体認証を用いるほか、リスクベースでの認証を方針としており、普段は使用しないような高額の取引や海外での決済など不正利用のリスクが疑われる場合のみ多要素認証で本人確認を徹底する仕組みとなっている。セキュリティの強化とカゴ落ち（ECサイトでカートには入れたものの購入せずに離脱すること）の低減の両立を狙う特徴を持つ。

「EMV 3-Dセキュア」の概要

その他、WAF（Web Application Firewall）の導入や不正検知サービスの導入、SSL（Secure Socket Layer） / TLS（Transport Layer Security）認証の導入なども有効だという。

ChatGPTを悪用したサイバー攻撃に注意が必要

最近、対話型のチャットAI（Artificial Intelligence：人工知能）「ChatGPT」に関する話題がにわかに増えている。質問に対する回答だけでなく、あたかも人間のような自然な雑談、文章の要約ができるとあり、すでに利用したことがある人もいるだろう。

革新的な技術に対する驚きと共に認知が広がっているChatGPTではあるが、サイバー攻撃への懸念もまた増加しているようだ。代表的な攻撃手法として、ChatGPTによる偽のレビューやフェイクニュースの生成が挙げられる。本来とは異なる不正な情報操作により企業に損害を与える例があるという。

また、ChatGPTが生成した「あたかも本物らしい文言」によるフィッシングやスパムメールなども増加しているとのことだ。これまで攻撃者が作成していたメールのテキストをChatGPTが代替して迅速に多量のテキストを生み出せるため、攻撃に悪用されている。また、話題性があるChatGPTを装う偽サイト、あるいはアプリケーションを用いたフィッシング詐欺なども見られるようだ。

ChatGPTを悪用したサイバー攻撃

加えて、渡辺氏はChatGPTを用いた攻撃について、「機密情報やプライバシー情報の侵害」が今後増えるだろうと予測している。現在のChatGPTは基本的にテキスト生成を行うが、企業の内部データに酷似したテキストを出力するChatGPTインスタンスが既に確認されているという。

同様に、「ChatGPT自体に対する攻撃」も増えると予測している。AIの機能が学習データに依存することを逆手に取り、偽の情報など不適切な入力データを挿入して学習モデルを汚染し、AIのクオリティを低下させる恐れがあるそうだ。

クレジットカードの不正利用が増加中、その手口とは？

続けて、かっこの不正検知サービス「O-PLUX」で事業部部長を担当する小野瀬まい氏が、クレジットカードの不正利用の増加について解説した。

かっこ O-PLUX 事業部部長小野瀬まい氏

クレジットカードの不正利用が増加している背景には、カード情報を含む個人情報の漏えい件数の増加があるという。2022年に上場企業が漏えいを公表した個人情報の件数は過去最多を更新し592万人分だ。カード情報のみに絞っても過去5年間で最多となる84万件分が流出している。特に、2月には決済代行会社から最大46万件もの情報が漏えいする大規模な事故も発生した。

不正に入手したカード情報で行われる行為はインターネットバンキングでの不正送金や不正購入が多く、被害全体の68.7%を占めている。こうした点から、特に金融機関やEC事業者では対応が必要とされる。

個人情報の流出件数が増加しているという　資料：かっこ

かっこが不正検知サービスを用いて収集したデータによると、2022年に不正検知が認められた件数が最も多かった商材は「デジタルコンテンツ」だという。「ホビー・ゲーム」「旅行」などが続き、比較的高額な高リスク商材が狙われる傾向にあるようだ。

他方、比較的低単価な「健康食品・医薬品」「コスメ・ヘアケア」「アパレル」などの被害も多く、これらの商材はクレジットカードの不正利用だけではなく、悪質な不正転売にも狙われているそうだ。

不正注文に使われるIPアドレスに着目すると、IPアドレスが使われる国自体には大きな変化が無かったが、日本のIPアドレスが全体に占める割合が増加している傾向が見られるという。以前は海外からのIPアドレスが不正に使われやすかったために、海外IPのブロックやチェックが厳しくなっており、日本のIPを経由して海外からの注文だと分からないよう偽造する手口が増えているとのことだ。

近年は、クレジットカード番号の規則性を悪用して他人の番号を割り出す「クレジットマスター」の被害が増えている。クレジットカードはカード番号と有効期限、セキュリティコードが分かっていれば決済できるため、ボットを用いてECサイトの決済画面などに総当たり的に攻撃を仕掛けて有効な番号の組み合わせを割り出す手法だ。

大量のアクセスによるECサイトへの負荷に加えて、無駄なオーソリゼーション（信用照会）費用も問題となっている。攻撃者は有効なクレジットカード番号、有効期限、セキュリティコードを入手できるため、カードの不正利用に直結する恐れがある。

クレジットマスターの手口

また、フリマアプリとBNPL（Buy Now Pay Later：後払い決済）を悪用した手口も増加している。その手順は以下の通り。

まず、不正者は架空の情報やネット上で入手した画像を悪用してフリマサイトやオークションサイトに架空の出品を行う。一般生活者がその商品を購入・落札すると、不正者は個人間売買を行うとして個人情報を入手する。不正者はその個人情報を悪用して正規のECサイトでBNPLにて購入すると、購入者の元にBNPL事業者から請求書が届く流れだ。購入者は不正者とBNPL事業者から二重に請求されることになる。その結果、不正者は商品が手元に無くても現金を入手できる。