ロイヤリティ詐欺を知っているだろうか? せっかく貯めたポイントや航空マイルが、サイバー犯罪者によって簡単に奪われてしまう、こうした詐欺の仕組みについて解説する。
この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
ポイントやマイレージなどのいわゆる「ロイヤリティプログラム」は一大ビジネスであり、ハッカーや詐欺師たちは、この新たな金脈に狙いを定めている。ある調査によると、全世界におけるロイヤリティマネジメント(ロイヤリティプログラムを管理するシステムなど)の市場規模は、今後7年間において年率12.3%で成長し、2028年までに約180億ドル(2兆3,100億円相当)に達すると予測されている。そして、顧客や大金が動くところ、すなわち市場のあるところでは、必然的にサイバー犯罪が発生する。
英国の美容・健康商品を扱うBootsやオーストラリアのスーパーマーケットチェーンであるWoolworths、さらにはTescoやDunkin Donutsといった多国籍企業に至るまで、ポイントカードサービスに対する攻撃は日常的なものとなっている。ソーシャルメディアには、アカウント情報が流出したことに怒りを抑えられない被害者の話題であふれている。
Matt Hughes
@Morrisons アカウントがハッキングされた結果、175ポンド(27,500円相当)以上のポイントが盗まれた。補償もなく、自己責任だと言われた。2年かけて貯めたのに、本気で言っているのか?
実際、未使用のポイントは全世界で48兆ドル(6,180兆円相当)に及ぶとの推定がある。新型コロナウイルス感染症によって脅威がさらに悪化したことから、サイバー犯罪者がロイヤリティプログラムを標的にすることが増えたのも驚くことではない。自身が優良顧客だと思うのなら、ロイヤリティが伴うアカウントを保護できるよう、十分な注意を払うべきだ。こうしたアカウントの保護は、単にポイントを守るだけでなく、そのアカウントに保存された機密性の高い個人情報を保護することにも通じる。
ロイヤリティプログラムはどれほど使われているのか?
オラクル社によると、米国ではミレニアル世代の約4分の3(72%)が、好きなブランドのロイヤリティプログラムに加入しているか、加入したいと考えているという。ブランドに対するロイヤリティを得ることは難しく、逆に失うことは容易であるが、ロイヤリティプログラムは顧客との関係性を強化する手段として有効だ。通常、ポイントを貯めた会員には、割引や特典、無料の商品やサービスが提供される。
具体的には、以下のような特典が含まれる。
- 無料の航空券やホテルの宿泊(例:航空マイル)
- 無料、または割引でのタクシー乗車(例:Uber)
- 無料の食料品
企業はこうした特典を提供する代わりに、顧客の購入・閲覧の履歴といった、極めて価値のあるデータを収集できる。こうしたデータはマーケティングや販促の施策を改善するのに役立つものだ。
犯罪者はどのような手法でしかけてくるのか?
ロイヤリティ詐欺には、大きく3つの手法が挙げられる。1つは正規のユーザーが複数のアカウントを開設するなどして、システムを不正に利用することでブランドが損害を被るケースだ。もう1つは、その企業に所属する従業員によって、ユーザーの個人情報やポイントを故意に盗むケースだ。しかし、最大の脅威は、外部の攻撃者によってアカウントが乗っ取られることだ。ポイントが盗まれる、不正に商品が購入される、ポイントが移行される、あるいはダークウェブ上でユーザーの個人情報が売却されるといった被害につながる。
こうした犯罪は、どのようにして行われるのだろうか? 主な手法は次の3つだ。
- ユーザーを騙し、アカウント情報を詐取するフィッシングメール、SMS、電話、メッセージ
- 以前に漏えいしたパスワードを使い回しているオンラインアカウントを標的にしたクレデンシャルスタッフィング攻撃
- サードパーティのアプリストアで公開した偽のモバイルアプリによるログイン情報の収集
どれほどの被害が生じているのか?
これらの攻撃が、どれほどの規模に達しているかを詳細に示す最新のデータは驚くほど少ない。ただし、2020年初頭のある調査では、ロイヤリティ詐欺は前年比で89%増加したとの報告がある。同調査では、これらの詐欺による直接的・間接的な損失は、年間で約10億ドル(1,280億円相当)に達すると推定されている。
また別の調査では、2018年7月から2020年7月の間に、1,000億件のクレデンシャルスタッフィング攻撃が検出され、そのうち630億件は小売・旅行・観光業界を標的としたものだった。ダークウェブ上にあるサイバー犯罪フォーラムでは、ホテルのロイヤリティプログラムのアカウントが最大で850ドル(11万円相当)で取り引きされている。盗まれたクレジットカード情報と、航空会社やホテルのロイヤリティプログラムを組み合わせて販売する、闇の「旅行代理店」を始める犯罪者さえ存在している。
ロイヤリティプログラムを守るには?
極めて重要なオンラインアカウントを保護するには、どうすれば良いのだろうか?その対策は、パスワード管理の徹底と、フィッシング攻撃に対する啓蒙に尽きる。
主要な7つの対策を次のように提案する。
- 各アカウントに複雑でユニークなパスワードを設定し、パスワードマネージャーに保存する
- 適用可能なすべてのアカウントで多要素認証を有効化する
- 信頼できるアプリストアからのみ、モバイルアプリをインストールする
- アプリをダウンロードする前に、マルウェアが含まれていないことを検証できるよう、ウイルス対策ソフトを使用する
- 信頼できるメーカーのセキュリティソフトを、すべてのデバイスに導入する
- 迷惑メールや不審なSMS、あるいはソーシャルメディアのメッセージに含まれるリンクを開いたり、添付ファイルを開いたりしない
- ロイヤリティプログラムのアカウントへログインする際は、リンクをクリックするのではなく、ブックマークからサイトにアクセスする
ロイヤリティプログラムは、昨今のマーケティング施策や顧客エンゲージメント戦略の中核となっている。一方で、サイバー犯罪者や詐欺師にとっては安定した収入源となってしまった。彼らの攻撃からアカウントを保護するために、先述の対策は役立つだろう。また、数千兆円相当ものポイントが未使用である点を考慮すると、普段からポイントを使用しておくことも、犯罪者に悪用されないようにする手立てとなり得るだろう。
