2025.05.20進化する不正経済──AIが変えるデジタルリスクの最前線
- #AI
- #不正トレンド
本記事は、Sift Science, Inc.のBlog記事「What is Card Testing Fraud and How to Protect Your Business」を日本語に翻訳したものです。
本記事の著作権は、Sift Science, Inc.および同社の国内パートナーである株式会社DGビジネステクノロジーに帰属します。
Sift Trust and Safety Team 著 / 2024年10月29日
企業がAIや高度な自動化の倫理について議論を重ねている一方で、不正経済(Fraud Economy)は水面下で静かに進化を遂げつつあります。サイバー犯罪者たちによる広大で複雑に連携したネットワークは、今や、これまで以上に効率的かつ巧妙に詐欺・不正を行えるよう設計された、AI搭載不正専用ツールを開発・販売しています。
制限がなければ、AIツールは、最低限の技術しか持たない不正犯であっても、リアルな動画やディープフェイク音声、悪意のあるパーソナライズされたフィッシングメールなどを簡単に生成し利用できてしまいます。
AIがいかにして大規模な不正を可能にしているのか、そしてアカウント作成から決済に至るまで、収益を守りながら顧客体験を安全に保つために取るべき対策についてご紹介します。
不正経済(Fraud Economy)とは?
不正経済とは、様々な種類の詐欺や不正行為を通じてオンラインビジネスを悪用する、サイバー犯罪者によって形成された、高度かつ相互連携するネットワークのことを指します。この数十億ドル規模のエコシステムは、かつての孤立した攻撃から進化し、不正犯同士が連携しリソースを共有しながら、アカウント乗っ取り、コンテンツの悪用、不正決済などを行う「経済圏」へと発展しています。
あらゆる経済と同様に、この犯罪市場も「需要と供給」の原理で動いています。詐欺ツールの開発者や盗難データの販売者が“供給”を担い、不正を働く実行者たちの“需要”に応じてサービスを提供しているのです。
例えば、Siftのトラスト&セーフティチームは、Proxy Phantom(プロキシ偽装詐欺)、Cart Crasher(在庫妨害型のボット攻撃)、Pig Butchering(養豚詐欺)といった詐欺組織や広範にわたる詐欺を特定・摘発するなど、不正経済の実態解明に取り組んでいます。
なぜ「不正経済」を理解することが重要なのか
残念ながら、不正経済は不正犯にとって非常に利益率の高い市場です。
研究者は、サイバー犯罪による世界全体の年間コストが、2025年までに10.5兆ドルを超えると予測しています。 2023年だけでも、ダークウェブ上で売買された盗難認証情報をもとにした「なりすまし詐欺」により、米国では430億ドルの損失が発生しました。
さらに大きな視点で見ると、こうした詐欺・不正行為のたびに市場全体の信頼と安全性が損なわれ、オンライン取引に対する消費者の信頼を低下させています。
不正経済は今や、アカウント乗っ取り(ATO)や不正決済といった複数の不正手口が相互に絡み合う、複雑で連携の取れたネットワークへと変貌を遂げています。 これらの個々の不正は、より大規模な不正スキームへの入り口として機能しており、このエコシステムの全体像を理解することが不可欠です。
企業は、高度な不正対策技術や戦略への投資を強化すべきです。例えば、専門の不正アナリストの採用や、セキュリティ施策の継続的なアップデートなどが挙げられます。不正犯との“いたちごっこ”は運用コストの増加を招き、適切に管理しなければ利益率を圧迫する要因にもなりかねません。
詐欺やサイバー犯罪の高度化に伴い、多くの業界で規制やコンプライアンス要件が厳格化されています。不正対策や規制対応を怠れば、多額の罰金や訴訟リスクだけでなく、企業の評判にも深刻なダメージを及ぼします。データ保護、マネーロンダリング対策、業界ガイドラインなどの遵守には、不正経済への深い理解が求められます。これを欠けば、企業は法的な処罰や営業許可の取り消し、さらには取引先や顧客との関係悪化に直面する可能性があります。
しかし、犯罪者たちは市場や技術の変化に対する適応力が非常に高く、パンデミック下のオンライン利用増加時に不正行為が急増した事例も記憶に新しいところです。近年では、生成AIの急速な普及を背景に、不正犯たちがこの新しい技術を即座に取り入れ、さまざまな不正行為に活用しています。こうしたAI詐欺への不安から、すでに約30%の消費者がオンラインショッピングを控えるようになっているという調査結果も出ています。
詐欺におけるAI革命
サイバー犯罪の世界は、過去2年間でAIによって大きく変貌を遂げました。不正犯は、公開されている生成AIツールを悪用するだけでなく、既存の大規模言語モデル(LLM)の“脱獄版(jailbroken versions)”を用いて、不正行為に特化した形で再設計しています。例えば、「FraudGPT」という悪意あるコードを生成するAIは、月額200ドルでサブスクリプション提供されており、同様のツールには「WormGPT」や「BadGPT」といったものも存在します。以下では、AIが不正経済にもたらした新たな脅威をいくつか紹介します。
AIによって高度化するソーシャルエンジニアリング
調査によれば、サイバー犯罪の98%にソーシャルエンジニアリング(人間の心理を悪用して情報を盗む手口)が関与しているとされています。不正犯はAIを活用することで、ターゲットのSNSや公開情報を自動で収集・分析し、極めてパーソナライズされた攻撃を仕掛けることが可能になります。こうして得た情報をもとに、テキスト・動画・音声といったさまざまな形式で、AIによるカスタマイズされた詐欺メッセージを生成できるのです。
音声ディープフェイクと金融詐欺
AIを用いた新たなソーシャルエンジニアリングの手口として、実在の人物の声を極めて自然に再現した「ディープフェイク音声」が使われるケースが増えています。
よくある手口は、「家族が困っている」と装った音声通話を仕掛け、至急の送金を要求するというものです。企業を狙った実例としては、香港で発生した「CFOなりすまし事件」があります。サイバー犯罪者がAIで財務責任者(CFO)の声を再現し、従業員に2,500万ドルの送金を指示させました。
生成AIと合成ID詐欺
現在、世界では1日に34億通ものフィッシングメールが送信されており、企業も消費者もその脅威にさらされています。AIツールを使えば、各受信者の言語や文体に合わせた、非常に精巧なフィッシングメールを大量かつ短時間で生成できます。これらのメールは、信頼されている企業や人物のスタイルを忠実に模倣するよう、数千通の実在メールを学習したLLM(学習モデル)によって作られます。
さらにAIは、合成ID詐欺(Synthetic Identity Fraud)にも活用されています。これは、盗まれた社会保障番号などの実在データと、偽名・住所・その他の情報などを組み合わせて、架空のデジタルアイデンティティを作成する詐欺手法です。こうした偽のIDは、従来の認証システムをすり抜ける可能性があり、活動履歴を自動的に生成することで“信頼できそうなユーザー”に見せかけることができます。
AIによる攻撃の自動化
AIを活用することで、不正犯たちは複数の企業を同時に標的としたフィッシングキャンペーンを、自動的に展開できるようになりました。1分間に数千通のメールを送信することも可能です。
また、AIによるボットやスクリプトは、ログイン情報を盗むクレデンシャル・スタッフィング攻撃やアカウント乗っ取り(ATO)も自動的に仕掛けます。例えばProxy Phantomという詐欺ネットワークでは、ボットを用いて約150万件の流出認証情報を使って世界中のシステムに自動攻撃を行い、ピーク時には1秒間に2,691件ものログイン試行がブロックされていました。
仮想通貨詐欺
LLMは、複雑な仮想通貨詐欺の開発にも使われています。
例えば、AIを使ってSNS上に大量の投稿を生成・拡散し、特定の仮想通貨の注目度を意図的に高めて価格をつり上げる「ポンプ・アンド・ダンプ詐欺」があります。価格が上がったタイミングで不正犯が売り抜け、多額の利益を得ます。
さらに、不正犯は存在しない仮想通貨のICO(新規コイン公開)を装って資金を集めるケースもあります。AI生成ツールを使えば、業界用語を駆使した本物そっくりのホワイトペーパーや、信頼性の高いブロックチェーンプラットフォームに見える偽のWebサイトを作ることも可能です。
AIを悪用した不正行為に対応する戦略
AIによって進化する不正リスクに対処するには、企業はこれまで以上に高度なリスク特定、不正検知、脅威モニタリングの体制を整える必要があります。AIは数々の新たな課題をもたらす一方で、それに対抗する最も効果的な手段でもあります。目の前の新たな脅威に従来型の対策で場当たり的に対応するのではなく、ユーザー体験全体を保護するAIツールを積極的に活用することで、不正への先手対応が可能になります。
AIがどのようにビジネスと顧客を守るのか、その活用法を詳しく見ていきましょう。
リスクのある行動を特定する
ATOや合成IDの不正を防ぐには、カスタマージャーニーの最初の段階から、リスクのある行動を的確に見抜く能力が求められます。高度なアカウント防御ソリューションを活用すれば、ログイン時に自動的かつ即時にATOの試みや合成IDの使用を検知できます。
Siftは、強力な機械学習アルゴリズムによって、高度なAIなりすましも高精度で識別可能です。正規顧客に負担をかけることなく、ビジネスを保護できます。
AIによる不正検知
従来の不正検知システムは、基本的に事後対応型であり、拡張性の限界や誤検知率の高さが課題でした。固定的なルールベースに基づいたこうしたシステムでは、急速に進化し日々巧妙化する不正手口に対応しきれません。一方、Siftのような高度なAIを活用した不正検知ソリューションでは、ユーザー単位の行動インサイトと自動化機能を通じて、不正の兆候を事前に把握・対処することが可能です。
継続的なモニタリングとリアルタイムのリスク評価
AIを用いた攻撃は、極めて適応力が高く、常に進化を続けています。不正行為は、アカウント作成から商品の返品やチャージバック請求に至るまで、顧客接点のあらゆる段階で発生し得ます。継続的なモニタリング機能を持つ不正検知ソリューションであれば、わずかな異変の兆候を自動的に検知し、被害が拡大する前に不正を封じ込めることができます。
リアルタイムのリスク評価では「ダイナミック・フリクション」が有効です。これは、ユーザーごとのリスクレベルに応じて、セキュリティ要件の厳しさを変える仕組みで、大多数の正規ユーザーにはスムーズな体験を提供しつつ、不正犯には厳しい防御を敷くことができます。
Siftでより速く進化し、不正と闘う
Siftプラットフォームは、高度な機械学習、深層予測分析、そして強力な異常検知機能を備えた包括的な不正対策ソリューションです。Siftグローバルデータネットワークは、年間1兆件以上のイベントを処理・分析し、最新の不正パターンやトレンドを明らかにします。
Siftを導入する企業は、不正検知の精度が平均40%向上し、カスタマージャーニー全体を通じたユーザー行動の全体像を把握できるようになります。さらにSiftでは、不正動向を常に把握できるツール「FIBR(Fraud Industry Benchmarking Resource)」を提供。グローバルデータネットワークに基づく何兆ものイベントデータから、不正リスク管理におけるベンチマークを明確にし、企業の判断と戦略設計を支援します。
AI時代の不正対策において、Siftがどのようにビジネスの成長と保護を両立させるか――ぜひ詳細をご覧ください。
