利用者の行動遷移データを活用し、オンライン取引の不正を防止(EMCジャパン)

2014年10月17日8:09

不正オンライン取引検知ソリューション「RSA Web Threat Detection」が機能強化
オンラインバンキング、eコマースサイトへの導入を目指す

EMCジャパンは、2014年10月16日に記者会見を行い、インターネットバンキングやeコマースサイトなど、オンライン取引サービスのサイト訪問者の閲覧軌跡を解析して、不正な行動を検出する不正オンライン取引検知ソリューション「RSA Web Threat Detection(アールエスエー ウェブ スレット ディテクション)5.0」(旧製品名:RSA Silver Tail)の提供を開始したと発表した。

eBay/PayPalからスピンアウトした技術者が開発
コンセプトは「“Goods”のモデル化」

RSA Web Threat Detectionは、米国・eBayおよびPayPalでオンライン決済の不正取引を検知するツールを開発した技術者がスピンアウトしたSilver Tail System社をEMCが買収して提供している製品となる。

記者会見の冒頭に挨拶したEMCジャパン RSA事業本部 本部長 貴島直也氏は、オンラインの取引は昨今、個人を狙ったものに加え、「法人の被害が広がってきた」と説明した。

EMCジャパン RSA事業本部 本部長 貴島直也氏

EMCジャパン RSA事業本部 本部長 貴島直也氏

不正被害の防止に向けては、ユーザー自身による二要素認証やデバイスIDの導入、ファイアウォールやIDS/IPSといったネットワークの防御、WAFや脆弱性診断、ログ分析といったアプリケーションなどの対策が行われていた。しかし、犯罪者はこうした対策を踏まえて攻撃を仕掛けるため、「いたちごっこが続いていた」という。

オンラインサービスの不正の状況(警視庁データより)

オンラインサービスの不正の状況(警視庁データより)

RSA Web Threat Detectionのコンセプトは「“Goods”のモデル化」となる。具体的には、サイト訪問者全体の膨大な行動遷移データを活用する。導入企業は、訪問者の大多数である正規利用者の行動遷移から大きく外れる行動や、利用者個人の普段の行動遷移と異なる動きを検出。これにより不正な行動や疑わしい行動を発見して、正規利用者になりすまして行われる不正活動を未然に防ぐことができるという。企業にとっては、有機的に犯罪攻撃を見つけることができ、ユーザーも不便を被らないメリットがあるそうだ。正常なユーザーと違った行動をはじき出すモデルにより、「犯罪者は対策のしようがない」とEMCジャパン RSA事業本部 事業推進部 シニアビジネスデベロップメントマネージャー 花村実氏は自信を見せる。

EMCジャパン RSA事業本部 事業推進部 シニアビジネスデベロップメントマネージャー 花村実氏

EMCジャパン RSA事業本部 事業推進部 シニアビジネスデベロップメントマネージャー 花村実氏

人的リソースが削減でき、過検知も減少
5.0の新機能としては3つが追加

RSA Web Threat Detectionでは、通常のeコマースサイトの導線となる「サイト閲覧→製品検索→製品情報閲覧→購入→チェックアウト」のプロセスの中で、あるユーザーが異常に速いアクセスを実施したり、他ユーザーとアクセスの行動遷移が異なるといった場合に脅威スコアを導出。ページアクセスのスピードをモニターでき、特定ユーザーの回数を遷移統計データと比較可能だ。

例えば、「ログインページから直接アカウント詳細ページへアップ」「連続的に商品詳細ページを長時間にわたって閲覧している」といった不審な行動の場合は、ビヘイビアスコアが高くなるという。また、リアルタイムにスコアが出るためオンラインサービスの攻撃を発見するための分析力を強化できる。さらに、ルールが1時間ごとに適用されるため、1時間前にどういうことが起こったのかが可視化できる。

海外では複数の金融機関等が採用しているが、「人的リソースが削減でき、過検知が少なくなりました」と花村氏は説明する。

RSA Web Threat Detection 5.0の新機能としては、「プロファイルタイムライン」「スマートモバイルアプリ対応」「データストリーム」の大きく3つが追加された。

プロファイル タイムラインでは、通常と異なる行動が検知されたユーザーやIPアドレスには、その情報をアイコンで表示。ログから抽出された疑わしい行動、関係するユーザーやIPアドレス、アラートの内容などを一元的に表示することで、不正行為の特定が早くなり、素早いアクションにつなげることができるという。

プロファイルタイムライン

ユーザーやIPアドレスにアラート情報を付加して時系列に表示する「プロファイル タイムライン」

スマートモバイルアプリ対応では、JSON(JavaScript Object Notation)フォーマットによるモバイルアプリのトラフィックを解析可能だ。従来のバージョンでは、独自の解析ルールを設定してトラフィックを分析する必要があったが、最新版では、標準搭載している解析ルールを活用して分析できるようになった。モバイルの認証による防御はPCに比べて手薄で高リスクだが、モバイルトラフィックの可視化も可能になるそうだ。

モバイルアプリのトラフィックを解析する「スマートモバイル対応」

モバイルアプリのトラフィックを解析する「スマートモバイル対応」

データストリームでは、Webトラフィックデータを、RabbitMQやAMQPプロトコルで他の製品に渡すことが可能となった。これにより、ビジネスインテリジェンス製品やデータウェアハウス製品へリアルタイムにデータを送り、購買の傾向分析やWebページ構造の効率分析などに利用できるという。特にWebページ構造の見直しでは、不正なページ遷移の存在を排除するなどして、サービス企業が不利益を被るリスクを減らすことができるそうだ。

Webトラフィックデータを他の製品で利用できるエクスポート機能「データストリーム」

Webトラフィックデータを他の製品で利用できるエクスポート機能「データストリーム」

価格については、会員数などに応じて決定されるが、目安としては会員数月間10万人規模の企業の場合、約2,920万円(永久ライセンス)となっている。現状、国内の導入実績はまだないが、すでに複数のオンラインバンキングを展開する企業と話が進んでいるそうだ。

page toppagetop