あらゆるものがデジタル化されてきた今、ITを介したトランザクションのすべてが“ログ”として残るようになっています。大量のログは、明確な視点をもって解析すれば、自ずと“語り出す”のです。第3回は、最新の金融犯罪を例に、昨今のサイバー攻撃の変化をお伝えしました。今回は、それらに対応するための、新しいログの分析手法とテクノロジーの意義について解説します。
番号認証では「本人」と「犯人」を区別できない
番号認証には、知識認証や所有物認証といった方法があります。前者は、ID/パスワードなど本人だけが知っている番号/符号を使う方式、後者は乱数表など本人だけが持っているカード上の番号/符号を使い分ける方式です。いずれも、多層防御を想定し追求したものです。しかし、これらの方式には「番号が一致していれば本人であると認証してしまう」というリスクが潜んでいます。
人を認証するテクノロジーは本質的に、「本人」と「本人とは思えない他人」を識別することにあります。つまり、「本人」と「犯人」とを識別するためのテクノロジーではありません。「他人」を「本人」だと誤って識別しないように制御する程度だと考えた方が良いかもしれません。
第3回で紹介したような最新のサイバー犯罪に対しては、「番号が一致していれば本人である」とする番号認識のテクノロジーでは不十分です。そこで求められるのは、「通常と異なる行動をしていれば本人でない」とする「行動認識」のテクノロジーなのです。
例えば、12時00分に東京からログインしたIDと、12時05分に上海からログインしたIDがあったとしましょう。それらのいずれもが、事前登録したAさん本人のIDと一致した場合、どちらもAさんであると識別するのが番号認識の手法です。しかし、この判断が高いリスクを含んでいることは明らかです。現状の移動手段では、東京と上海をたった5分でAさんが移動することは不可能だからです。
行動一致の認証手法は、「番号が合っていれば本人だから何をしても良い」とする番号一致のテクノロジーの欠点を補います。行動一致の認証手法であれば、たとえ本人であっても、悪ふざけをしたり違法行為を犯したりしてしまう人物に“変身”する瞬間の行動をも捕らえられるでしょう。
違法行動を検知する行動認証と犯罪者プロファイリング
違法な行動を検知するテクノロジーの主体となるのが、「行動認証」と「犯罪者プロファイリング」です。行動認証は、対象の特徴などを検知して行動を分析していくテクノロジーです。カメラなどを使って、ある人がどの場所でどのように振る舞っているかを監視・診断する「特定行動の識別」や、購買履歴などを使って、どのような場所でどのような物を買う人なのかを監視・診断する「特定人物の識別」などに利用します。
一方の犯罪者プロファイリングは、特徴を推論して犯罪者を特定していくテクノロジーです。偽メールの配信などの「犯罪前の準備行動」、フィッシングサイトからID/パスワードを盗み不正振込送金を行う「犯罪中の行動」、不正振込送金先のATMから出金し海外に持ち出す「犯罪後の処理」などに利用します。
行動認証と犯罪者プロファイリングによって、通常と異なる行動を検知した場合、「その行動は違法性が高い」と判断できると私は考えています。例えば、本人として行動するなら、利用しているPCやスマホなども普段と同じものであると想定できます。ところが、いつもと違うPCやスマホを使ってアクセスしていたら「これは、本人ではないかもしれない」と考えられます。「本人と思えないように行動する他人」には、通常と違うプロファイリングがそこにあり、怪しさもそこに潜んでいるのです。
食文化の違いも現れるプロファイリング
プロファイリングのポイントは、あらゆるところにあります。例えば、食文化の違いから来る行動パターンが、犯罪者の振る舞いに影響したりします。日本人は「一人分のお膳があり、そこにすべて皿が置いてある」状況で、食べ物をランダムに食する文化を持っています。これに対し海外では「全員がテーブルを囲み、一皿ずつ出てくる」状況で、食べ物をシーケンシャルに食する文化があります。これらが、目の前にある「美味しい情報」をどのような手順で扱うかに影響していると考えられるのです。
具体的には、日本人は、目の前に自分だけのPC画面(お膳)と全情報(お皿)が置かれた時点で、「安全に扱う(食べる)ことが担保された」と認識する傾向があるのです。他人が決めた手順(一皿ずつ出される料理)の通りに、情報を一つひとつ見ていくことは「余計なお世話」と思う人がいるわけです。
ところが海外では、決められた手順に沿って情報にアクセスすることに抵抗感はありません。大勢がテーブルを囲む中で奪い合いが起きないように、同じ情報(料理)が一つずつ順番に出てくることで、安全であることを担保しているためでしょう。
