2025.09.10不正アカウントによる影響と対策

本記事は、Sift Science, Inc.のBlog記事「What is Fake Account Creation?」を日本語に翻訳したものです。

本記事の著作権は、Sift Science, Inc.および同社の国内パートナーである株式会社DGビジネステクノロジーに帰属します。

Sift Trust and Safety Team 著 / 2025年8月6日

不正アカウント作成とは、不正犯が虚偽または盗用した情報を用いてアカウントを作成する不正の一種です。こうしたアカウントはシステムの悪用、サービスへの不正アクセス、さらなる不正行為の足がかりにされるケースがあります。ECサイトやオンラインマーケットプレイス、またSNSや金融アプリに深刻な被害を与える可能性があり、実際にかなり頻繁に発生しています。

ソーシャルメディア業界では、Facebookが2024年第1四半期だけで12億件の不正アカウントを削除したと報告しており、そのほとんどはユーザーが通報する前に検出・削除されていました。金融業界でも同様の問題があり、JPMorgan Chase社は、最近買収した大学向け奨学金プラットフォームに425万件のアカウントがあると報告されていたが、実際に有効なアカウントはわずか30万件しかなかったことを突き止めています。Forbesの報道によれば、Wells Fargo社は従業員が顧客情報を不正利用して350万件の新規口座を開設していたとして、米国連邦政府から罰金を科せられました。 

合成ID不正（本物の個人情報と虚偽の情報を組み合わせて作る新しい身元情報）は急増しており、米国では2030年までに最大230億ドル規模の損害を引き起こすと予測されています。

目先の利益目的でも長期的な侵入目的でも、不正アカウントの作成は広範な不正戦略の第一歩になりがちです。企業が優位に立つためには、実際のユーザーや事業運営に影響が及ぶ前に、不正アカウントを検知・防止する必要があります。本記事では、不正アカウントの仕組み、検知方法、長期的な防止策について解説し、Siftのような不正検知ソリューションを活用したベストプラクティスを紹介します。

不正アカウント作成とは

不正アカウント作成とは、虚偽、盗難、または改ざんされた情報を用いてアカウントを登録する行為を指します。こうした行為は、不正行為、キャンペーンやプロモーションの悪用、または不正な活動の隠蔽目的で行われることが多いです。これらのアカウントは一見すると正規アカウントに見える場合がありますが、実際にはシステムを欺き、セキュリティチェックをすり抜けたり、サービスへの不正アクセスを狙っています。

不正アカウントが作成される理由

不正犯が不正アカウントを作成する理由はさまざまですが、その多くは不正や悪用に結びつきます。不正アカウントは、友だち紹介プログラムやキャンペーンの悪用、スパムメッセージの送信、フィッシング詐欺、あるいはアカウント乗っ取りや決済不正といったより深刻な犯罪に利用される可能性があります。また、不正アカウントは、盗まれた認証情報のテストや複数のプラットフォームにまたがる大規模な攻撃を展開するための基盤として機能することもあります。

不正アカウントが作成される方法

不正アカウントは、偽造された情報を入力して手動登録する場合もあれば、スクリプトや高度な自動化ツールを使って数千ものアカウントが数分で作成されることもあります。不正犯は、レジデンシャルプロキシやボット、使い捨てメール生成ツール、さらにはデバイスのなりすましといった技術を利用し、正規ユーザーに見せかけながら検知を逃れようとします。より巧妙なケースでは、盗まれたID情報を用いて、高度な不正対策ソリューションがなければ検知が困難な、本物らしく見える信憑性の高いアカウントを生成するケースもあります。

不正アカウントの仕組み

不正アカウントの作成方法は、不正犯の目的や技術力によって単純なものから極めて高度なものまで、幅があります。基本的には、アカウント登録の際に偽名、架空のメールアドレスや電話番号、身分証明書など、偽造または盗用された情報を入力することで成り立っています。不正犯は、脆弱な認証手順や自動化されたオン​​ボーディングシステムを悪用して、検知されずに入り込むのです。

労力をかけない攻撃として、ランダムなデータや使い捨てメールアドレスを使い手動でアカウントを作成するケースがあります。しかし、大規模な不正アカウント作成は通常自動化されており、ボットやスクリプトを利用して数百から数千もの偽のプロフィールを一度に生成します。こうしたツールは、レジデンシャルプロキシ、デバイスエミュレータ、そしてCAPTCHA解読サービスと組み合わせて、実際のユーザーの行動を模倣し、検出を回避しています。

一部の攻撃者は「合成ID」を利用します。これは、実在する情報と偽の情報を組み合わせて、信憑性の高いプロフィールを生成する手口です。こうして作られたアカウントは長期間にわたって維持することができ、より高度な不正に悪用されることがあります。これらのアカウントは検知が困難で、休眠状態のまま不正に使用されるタイミングを待ったり、闇市場で大量に売買されたりする可能性もあります。

不正アカウントの検知と防止方法

不正アカウントの作成を防ぐには、セキュリティとユーザー体験のバランスを取った多層的な戦略が欠かせません。正規のユーザーはスムーズに登録できる一方で、不正ユーザーは早期にブロックされる仕組みを整える必要があります。そのためには、疑わしい登録を見極めるいくつかの重要な方法があります。

ユーザーシグナル分析

アカウント登録や登録直後のユーザー行動を監視する方法。異常な速さでのフォーム入力やコピー＆ペーストの多用、人間には不可能な速さでの画面操作など、通常と異なる行動パターンは、ボットや自動化ツールによる行動の可能性を示します。

デバイスとIDインテリジェンス

Siftのようなソリューションを使用して、デバイスIDやIPアドレス、位置情報を追跡する方法。同一デバイスから複数アカウントが登録されていたり、位置情報と利用履歴が矛盾していたり、プロキシやVPNが使用されている場合は、不正行為の強い兆候となります。

メールアドレスと電話番号のパターン

連絡先情報の構造や信頼性を分析する方法。使い捨てのメールドメインやランダムな文字列、繰り返し使われる電話番号は、不正アカウントに関連していることが多くあります。Siftを利用することで、不審な活動や不正行為に関連する個人情報を自動的に検知し、警告を出すことが可能です。

速度チェック

同じ発信元から短時間にどれだけのアカウントが作成されているかを確認する方法。特定のデバイスやIPアドレスから登録数が急増している場合は、赤信号です。

Siftのグローバルデータネットワーク

Siftは、グローバル規模の不正インテリジェンスを活用して既知の悪意ある行動を特定できる独自のソリューションを提供しています。複数のプラットフォームを横断して活動を照合することで、不審なアカウントをより迅速に特定することができます。

リアルタイムリスクスコアリング

これもSiftの特徴の一つです。AIを活用した不正検知アルゴリズムが、ユーザーの行動、デバイス情報、トラフィックパターンといったさまざまなシグナルに基づき、登録時点でリスクスコアを算出します。企業はこのスコアを活用して、追加の審査や精査、あるいは登録拒否を行うことができます。

登録後の行動監視

アカウント作成後も継続的に監視する方法。不正アカウントの中には、しばらくは活動を停止したまま放置したり、最初は正規ユーザーのように振る舞ったりするものがありますが、数週間から数か月後に不正行為を始めるケースもあります。

不正アカウントが企業に与える影響

不正アカウントの作成は、組織のセキュリティだけでなく、企業の評判、ユーザー、そして収益にまで深刻な影響を与える可能性があります。 

新たな不正手口は、被害が発生するまで検知するのが難しいことがあります。不正アカウントが関与するケースを含むeコマース不正による損失は、2024年に世界で443億ドルに達し、2029年には1,070億ドルに達すると予想されています。 

不正ユーザーの存在はサポートチームの負担を増やし、インフラコストを増大させて、継続的な監視の必要性を高めます。不正行為による損失は年間売上の約3%に相当し、不正対策チームの運営には事業収益の約10%を費やすと言われています。 

さらに、不正アカウントによってユーザーの信頼を損なう可能性があります。自らの情報を保護できないと感じられたり、場合によっては不正アカウントによってユーザー自身が被害を直接受ければ、その企業への信用は大きく揺らぎます。ハーバード大学の報告によると、米国ではサイバー犯罪によってわずか1年間で125億ドルの損失を被っており、ユーザーは現代の企業に対し、自分の情報保護となりすまし利用の防止を期待しています。 

不正アカウントの作成を防ぐには、過去の膨大なデータに基づき、常に進化する不正の手口に適応できる、柔軟かつ最新のソリューションが求められます。まさにその領域でSiftが強みを発揮します。

Siftが不正アカウント作成を防ぐ仕組み

Siftは、AIによるデータドリブンな不正検知機能を活用し、不審なアカウント登録を事前に特定し被害が及ぶ前に阻止することで、企業の不正アカウント対策を支援します。従来の静的なルールに頼るのではなく、機械学習とグローバルな脅威インテリジェンスを活用し、新規アカウントが作成されるたびにそのリスクを評価します。

Siftのグローバルデータネットワークは、リアルタイムに共有シグナルを取り込み、新しい不正行為のパターンに迅速に対応します。年間1兆件以上のイベントから収集した16,000以上のシグナルを基盤とし、不審な行動を特定します。AIによるパターン認識により、ユーザーから得られる単一のシグナルであっても、そのユーザーが信頼できるのか、あるいは追加の精査が必要なのかを判断できます。

さらに「Clearbox Decisioning」 と呼ばれる仕組みにより、なぜ特定のユーザーが不審と判定されたのか、理解することが可能になります。業界ごとのニーズに応じてリスクのしきい値を調整することで、正規のユーザーにはスムーズな体験を提供しながら、不正犯を確実に排除することができます。 

このプラットフォームは、カスタムワークフローやリアルタイムリスクスコアリングによる高度な自動化もサポートしています。不正対策チームが変化する不正手口に応じて防御策を柔軟に調整し、フラグ付けされた活動を効率的に確認し、顧客体験の初期段階で不正行為を防ぐことができます。 

Siftを導入することで、企業はリスクの高いアカウントを見極め、的確な対策を講じ、決済不正やアカウント乗っ取りといった二次的な脅威を軽減することができます。Siftは、かつてないほど高精度でスケーラブルなソリューションとして、企業の不正アカウント対策を支援し、事業成長とユーザーからの信頼獲得を両立させます。