VISAが生成AIを活用してアカウント詐欺攻撃に立ち向かう方法

自動化された列挙攻撃：デジタル詐欺の新たな脅威

攻撃者は、カードテスト攻撃を行うために自動化を活用し、ボットネットやスクリプトを武器にして、カード不在（CNP）取引を行っています。この驚くべき傾向は、昨年だけで11億ドルの詐欺被害を引き起こしました。

列挙攻撃のスピードと規模

列挙攻撃は非常に迅速かつ大規模に実行されます。攻撃者は高度な自動化技術を利用し、数秒しかかからずに何千ものボットネット攻撃を開始できます。この能力は従来のサイバー防御を上回るため、検出と防止が非常に困難です。

サイバー戦術の進化

サイバー犯罪者は常に手法を洗練させており、単純な検出を回避する最先端の自動化手法を取り入れています。生成系AIや大規模言語モデル（LLM）など、新しい技術を積極的に活用しながら、従来の自動化ツールも併用しています。TelesignのCEO、クリストフ・ヴァン・デ・ワイエは、詐欺者の巧妙さが増していることを強調しています。「彼らは生成系AIなどの技術の早期採用者であり、攻撃の質と規模を向上させています」と述べました。さらに、詐欺者は社会工学の手法を改善し、IT部門を欺くために従業員を装ってパスワードやMFAデバイスのリセットを試みています。その結果、世界の詐欺被害は6兆ドル規模に膨れ上がり、多くの国のGDPを上回っています。

列挙攻撃のメカニズム

列挙攻撃が特に危険な理由は、支払い情報のユニークな組み合わせ（主口座番号（PAN）、カード検証値（CVV2）、有効期限、郵便番号など）を迅速に提出できる能力にあります。これにより、CNP取引を巧妙に突破します。攻撃者は、ユーザーフィードバックを提供するシステムを標的とし、生成した推測が正しいかどうかを確認できるためです。

VISAの研究によると、列挙攻撃は特にレート制限や検証措置が不十分なeコマースプラットフォームの脆弱性を利用することが多いと報告されています。同社は、商人に対し、CAPTCHAの導入や、不審な取引の監視、強力な暗号化と多要素認証を採用することでリスクを軽減することを推奨しています。

詐欺防止におけるAIの役割

詐欺手法が進化する中、VISAは2019年に「VISAアカウント攻撃インテリジェンス（VAAI）」を立ち上げ、支払い詐欺攻撃の急増に対抗しています。このソリューションは、侵害、サイバー、および支払いインテリジェンスの洞察を統合した防御アプローチを基に、CNP取引を特定することに焦点を当てています。

今日、VISAは新しいgenAI搭載のVAAIスコアを導入しており、列挙攻撃をリアルタイムで評価しています。各取引にはリスクスコアが付与され、発行者は迅速に有意義な判断を下すことで、正当な顧客取引を保護し、経済的損失を最小限に抑えています。VAAIスコアはVisaNetを通じて共有され、商人やパートナーに不正取引の発生確率に関する即時の洞察を提供します。

VAAIスコアは、取引処理の20ミリ秒以内にリスク評価を生成し、182以上のリスク属性を分析して詐欺の可能性を測定します。150億件以上のVisaNet取引を分析して開発されたこのスコアは、従来のスコアよりも6倍の機能を備え、詐欺検出能力を大幅に強化し、誤検知を85%削減できる可能性があります。生成系AIや機械学習を統合することで、VAAIスコアはCNPセキュリティ対策を回避しようとする攻撃者を特定するために常に適応します。

VISAは、詐欺防止とネットワークセキュリティを強化するためにAIと機械学習技術に100億ドル以上を投資しており、たった1年で400億ドルの不正取引を阻止しています。

リアルタイムの正確性とスピードの課題

ジャバラ氏は、リアルタイムのリスク評価の重要性を強調し、VisaNetがISO標準を活用してパートナーや商人とシームレスに統合し、VAAIスコアを配信していると述べました。「我々は取引メッセージ内でVAAIスコアを提供しています」と説明し、クライアントが具体的な業務ニーズに基づいてリスク管理戦略を調整できるようにしています。

詐欺検出の分野は急速に進化しており、ジャバラ氏は企業が顧客の全旅程にわたって詐欺リスクを評価する必要性を指摘しています。Telesignは同様の目的でAIと機械学習を活用しています。

「Telesignでは、インテリジェンスAPIを用いてリスクや根本的なパターンに関する洞察を提供しています」とヴァン・デ・ワイエ氏は述べています。「電話番号の活動、メールの使用、IPアドレス、呼び出しパターンを分析することでリスクのある番号を特定し、リスクの推奨やスコアを通じて認証プロセスの向上を図っています。」