Oktaは、サインアップ詐欺の「驚異的な」規模を警告し、2024年にはボットが顧客登録試行の46%を占めていると主張しました。
この認証専門家は、Customer Identity Trends Report 2025でこの数字を明らかにしました。このレポートは、6750人の消費者を対象としたグローバル調査とAuth0プラットフォームからの運用テレメトリに基づいて書かれました。
Oktaは、登録詐欺の試みの急増が最近の下降傾向を逆転させており、AI対応の攻撃ワークフローの結果である可能性があると述べました。
「今年の結果は、AIがデジタルインタラクションの信頼性をどのように挑戦しているかを浮き彫りにしています」とOkta EMEA CSOのStephen McDermidは述べました。
「私たちは、誰を信頼できるかだけでなく、何を信頼できるかを問わなければならない時代に突入しています。この新しい攻撃面は、AI時代のための安全な基盤を構築し、静的から動的な戦略にシフトし、アイデンティティを中心に据えることを要求しています。」
年間を通じて大きな変動があり、詐欺の試みは4月6日にほぼ93%に急上昇し、2月29日には14%まで低下しましたが、他の日には30%を下回ることはなかったと報告書は指摘しています。
詐欺についてもっと読む: 新しいオンラインアカウントの4分の1が偽造 – レポート
小売業とeコマース企業が最も打撃を受け、2024年のサインアップ詐欺の試みの69%を占め、次いで金融サービス(64%)、エネルギー/ユーティリティ(56%)、製造業(54%)が続きました。
Oktaは、小売業者や金融サービスのサインアップインセンティブや会員限定の特典が詐欺師の注目を集めている可能性があると述べました。
しかし、登録詐欺はこのようなサインアップ報酬を消費するだけではありません。サイバー犯罪者が既存のユーザーアカウントを発見し、後で古いアカウントを使用してセキュリティコントロールを回避し、さらにはリソースを消費してサービス拒否(DoS)攻撃を実行することも可能にするかもしれないとOktaは警告しました。
組織にとっての課題は、サインアッププロセスに過度の摩擦を加えることなく認証セキュリティを強化することです。
レポートはまた、64%のユーザーがアイデンティティ詐欺を懸念し、72%がサインアップ前に企業のセキュリティ対策を評価しているにもかかわらず、ほぼ4分の1がサインアップやログインプロセスの問題でオンライン購入を「常に」または「しばしば」放棄していることを明らかにしました。長いログイン/サインアップフォームの記入がユーザーにとってサインアップやログインの不満の最も一般的な原因(62%)として挙げられました。
ブルートフォース攻撃への対策
Oktaは、次の方法でこの種のボット駆動の詐欺試行に対抗するよう組織に促しました:
- DDoS緩和サービスへの投資
- 行動分析、脅威インテリジェンス、フィードバックループに基づくボットフィルタリング技術の導入
- レート制限コントロールの導入
- リスク閾値に達した場合のCAPTCHA要件の強化
- 疑わしいIPの閾値を厳しくし、悪用するIPをブロックするためのアクセスコントロールリストの実装
- エッジでのWebアプリケーションファイアウォール(WAF)ルールを使用して悪意のある活動をブロック
- 顧客にパスキーを使用してサインアップすることを奨励
翻訳元: https://www.infosecurity-magazine.com/news/half-customer-signups-now/