出典:imageBROKER.com(Alamy Stock Photo経由)
金融機関、特に自動車業界でローンを取り扱う企業は、合成IDによる詐欺の増加に直面していると研究者たちは警告しています。サイバー犯罪者は、数多くの情報漏洩から得た詳細なデータを利用して、より精巧なプロフィールを作成するようになっています。
米国の金融機関における全体的な金融リスクは、2020年の19億ドルから2024年には33億ドルに増加しました。これは、自動車分野の貸し手に集中した詐欺が要因であると、今週クレジットビューローのTransUnionが発表した分析で示されています。全体として、合成IDは金融商品(クレジットカードや自動車ローンなど)の種類によっては、最大1%の取引で使用されていると同社は述べています。
貸し手向けの信用機関は、詐欺師の計画を阻止するために最良のデータを活用しようと競争していると、TransUnionのデータサイエンス副社長兼グローバル詐欺分析責任者のブラッド・ドーグドリル氏は述べています。
「これは軍拡競争です」と彼は言います。「より良いデータ、より多くのデータは悪いことではありませんが、表面的にはそれだけでは十分ではありません。そのデータをどのように使うか——情報サービスプロバイダーとしても、最終的には各業界の貸し手としても——それが詐欺師より先を行くための鍵なのです。」
金融業界は合成ID詐欺の最大の標的となっており、暗号通貨詐欺がその約10%を占め、融資業界が約5%で2位、続いて伝統的な銀行がほぼ5%となっています。サイバーセキュリティ企業Entrustの「2025年ID詐欺レポート」より。さらに広い意味では、合成IDはあらゆる業界セクターにとって増大する脅威です。ソフトウェアメーカーやテクノロジー業界は、北朝鮮の工作員が国際的なIT労働者を装う事例に直面しており、ディープフェイクや合成IDはしばしばこうした詐欺の基盤となっています。
パンデミック以降、貸し手に対する合成ID詐欺の推定被害額は33億ドルに増加しています。出典:TransUnion
詐欺師は個人のIDを盗んだり作り出したりするだけでなく、企業のIDを乗っ取ることもあると、ビジネスIDプラットフォームMiddeskの広報担当ジャッキー・ワイリー氏は述べています。
「銀行、決済、クレジットのプロセスがオンライン化するにつれ、詐欺師はより高度で長期的な詐欺手法にシフトしています」と彼女は言います。「合成ビジネスID詐欺は、実在または架空のビジネス情報を組み合わせて、実在しない、もしくは詐欺師が支配するビジネス実体を作り出すことが多いです…あるいは、実在するが休眠中の企業に“便乗”することもあります。」
サイバー犯罪者は長期的な詐欺へと移行
詐欺師たちは、合成IDから最大限の利益を引き出す方法についても経験を積んでいます。現在、一般的な手口として、詐欺師が合成アカウントで一定期間正規の支払いを行い、良好なクレジット履歴を築く「育成」戦略があるとTransUnionのドーグドリル氏は述べています。
信用履歴が乏しい顧客に金融機関が信用を与える場合、最初は小口から始めるだろうと彼は言います。
「彼らは500ドル程度の与信を得るかもしれません。その時、詐欺師は『500ドルで一気に詐欺を働くか、それとも最低限の支払いを続けてクレジットスコアを上げ、最終的に数万ドルにアクセスできるようにするか』という判断を迫られるのです」と彼は言います。
こうした長期的な詐欺を見抜くために、信用機関は利用可能なデータをより深く分析し、リスクの高いIDを特定する必要があります。細かな情報が大きな違いを生みます。合成IDの39%は親族がいないとされており、これは実際の人口の約5.2倍にあたるとTransUnionは述べています。
こうした関係性は、何が本物で何が偽物かを判断する最良の手がかりとなり得るとドーグドリル氏は言います。例えば、申請者が車を所有し、スピード違反の切符を受けている場合、それは実在する人物である良い証拠になると彼は述べています。
「詐欺師が車を買って高速道路を危険運転するメリットはありません」と彼は言います。「しかし、(申請者が)日常的にそうした行動をしている事実は、そのIDが本物であると私たちが確信する大きな材料となるのです。」
AI時代のアイデンティティ
申請者の審査のためにより多くのデータにアクセスすることが必ずしも万能な解決策ではありません。なぜなら、サイバー犯罪者もより多くのデータを収集し、合成プロフィールをより見抜きにくくしているからです。信用機関や他のIDセキュリティ企業は、詐欺師を見抜くためにより優れたシステムの構築を急ぐ必要があるとTransUnionのドーグドリル氏は述べています。
「彼らも私たちと同じツールを使って、詐欺師を捕まえるための“より良いネズミ捕り”を作っています。クラウドも使えますし、AIモデルも使えます。重要な機能面では私たちと同じツールにアクセスできるのです」と彼は言います。
軍拡競争ではありますが、合成IDはたいてい現実の不完全な模倣です。その欠陥を見抜くことは十分可能な目標だとMiddeskのワイリー氏は述べています。
「攻撃者は巧妙ですが、適応型リスクモデル、継続的なモニタリング、より豊富なデータソースによって、対策の水準は劇的に高まっています」と彼女は言います。「継続的なイノベーションが不可欠です。要するに、完全な解決はありませんが、正しい投資をすれば守る側に有利な状況を作ることができるのです。」
翻訳元: https://www.darkreading.com/cybersecurity-operations/synthetic-identities-finance-lending-sector