Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る

アカウント乗っ取り詐欺(ATO):サイバー犯罪者があなたの身元とお金を盗む方法

ホーム 用語集 アカウント乗っ取り詐欺(ATO):サイバー犯罪者があなたの身元とお金を盗む方法

インターネットは私たちの生活、仕事、そして相互の関わり方を革命的に変えました。しかし、同時にサイバー犯罪者が私たちの個人情報やお金を盗む新たな機会も生み出しました。最も陰湿なサイバー犯罪の一つがアカウント乗っ取り詐欺(ATO)であり、これは犯罪者があなたのオンラインアカウントに不正にアクセスし、自分の目的のために使用することで、しばしば財務的な損害を引き起こします。

ATOは年齢、性別、社会経済的地位に関係なく誰にでも起こり得ます。これにより、身元盗難、財務的損失、評判の損害など、壊滅的な結果を招く可能性があります。この記事では、ATOとは何か、どのように機能するのか、そして被害者にならないために何ができるのかを探ります。

アカウント乗っ取り詐欺(ATO)

アカウント乗っ取り詐欺とは?

アカウント乗っ取り詐欺(ATO)は、犯罪者が銀行、クレジットカード、ソーシャルメディアなどの個人のアカウントを乗っ取り、金銭や個人情報を盗むことを目的とするオンライン身元盗難の一形態です。

ATOは銀行口座、メールアカウント、ソーシャルメディアアカウント、オンラインショッピングアカウントに影響を及ぼす可能性があります。攻撃者が成功すると、あなたのアカウントを使用して不正な活動を行うことができ、例えば不正な購入を行ったり、自分のアカウントにお金を送金したり、あなたの個人情報を盗んだりします。

ATOの財務的影響

Siftのデジタルトラスト&セーフティインデックスによると、アカウント乗っ取り詐欺は2019年から2021年にかけて307%増加しました。さらに、連邦取引委員会によると、米国の成人の約22%がATOの被害に遭っています。詐欺師たちはますます洗練された方法とツールを開発しており、ATOの発生率が上昇しています。

ATOは特に損害が大きい可能性があります。なぜなら、攻撃者はしばしば機密データや財務情報にアクセスできるからです。さらに、ATOの被害者は不正行為に気づくのが遅れることが多く、重大な財務的損失や信用スコアへのダメージを被ることになります。

アカウント乗っ取り詐欺(ATO)はどのように機能するのか?

ATOは通常、被害者のログイン情報を取得することから始まります。これはフィッシング、マルウェア、ソーシャルエンジニアリング、またはデータ侵害から得られることがあります。攻撃者がログイン情報を取得すると、メール、電話番号、パスワードなどの情報を変更し、被害者がアカウントにアクセスできないようにします。その後、攻撃者はアカウントを使用して購入を行ったり、資金を移動したり、その他の不正行為を行います。

サイバー犯罪者があなたのアカウントにアクセスすると、以下のような不正行為を行うことができます:

  • クレジットカードや銀行口座を使用して不正な購入を行う
  • あなたのアカウントから自分のアカウントにお金を送金する
  • メールアドレスやパスワードなどのアカウント設定を変更する
  • 名前、住所、社会保障番号などの個人情報を盗む
  • あなたのアカウントを使用して、連絡先にスパムやフィッシングメールを送信する

アカウント乗っ取り詐欺の種類

アカウント乗っ取り詐欺が発生する方法はいくつかあります。以下は、最も一般的なアカウント乗っ取り詐欺の種類です:

クレデンシャルスタッフィング

クレデンシャルスタッフィングは、ダークウェブやデータ侵害から得た大量のユーザー名とパスワードの組み合わせを使用して、複数のアカウントにアクセスしようとするATOの手法です。攻撃者は自動化ツールを使用し、ユーザーがユーザー名とパスワードを再利用する習慣を利用して、多くの異なる組み合わせを試み、アクセスを得るまで試行します。

パスワードスプレー

クレデンシャルスタッフィングに似ていますが、パスワードスプレーは単一のパスワードを複数のユーザー名で使用します。この方法は、ユーザーが弱くて推測しやすいパスワードを使用する傾向を利用します。

フィッシング

フィッシングはATOの最も一般的な手法の一つです。攻撃者は、しばしば正当な機関を装った詐欺メールやテキストメッセージを送り、ログイン情報や個人情報などの機密情報を要求します。被害者はリンクをクリックしたり、マルウェアを含む添付ファイルをダウンロードしたりして、攻撃者がアカウントにアクセスできるようにします。

マルウェア

マルウェアは、被害者のコンピュータやモバイルデバイスに不正アクセスするために設計されたソフトウェアです。マルウェア攻撃により、攻撃者は被害者のログイン情報や個人情報にアクセスすることができます。

ソーシャルエンジニアリング

ソーシャルエンジニアリングは、攻撃者が個人を操作して機密情報を開示させるための戦術です。心理的操作を伴い、電話、ソーシャルメディア、対面で行われることがあります。攻撃者はしばしば正当な機関や権威者を装い、恐怖や緊急性を利用して被害者に機密情報を開示させます。

総当たり攻撃

総当たり攻撃は、詐欺師がソフトウェアを使用してログイン情報を推測し、正しい組み合わせを見つけるまで試行する方法です。これは自動化されたソフトウェアを使用するか、手動で異なるユーザー名とパスワードの組み合わせを入力することで行われます。

SIMスワッピング

SIMスワッピングは、詐欺師が誰かの携帯電話アカウントを乗っ取るために使用する戦術です。彼らは電話会社を説得して、被害者の電話番号を自分が管理する新しいSIMカードに転送させます。被害者の電話番号を管理下に置いた後、パスワードをリセットしてオンラインアカウントを乗っ取ることができます。

アカウント乗っ取り詐欺の警告サイン

詐欺師にアカウントを乗っ取られた可能性を示す警告サインはいくつかあります。以下は、最も一般的な警告サインです:

  1. 不審な活動:アカウントに不正な取引や情報の変更がある場合、誰かがアカウントを乗っ取った可能性があります。
  2. ログイン失敗の通知:誰かがアカウントにログインしようとして失敗した通知を受け取った場合、誰かがアカウントにアクセスしようとしている可能性があります。
  3. 明細書の未着:金融機関からの明細書やその他の通信が届かなくなった場合、詐欺師が不正行為を隠すためにアカウント情報を変更した可能性があります。
  4. 予期しない通知:金融機関からアカウントの変更についての通知を受け取ったが、自分で行ったものでない場合、誰かがアカウントを乗っ取った可能性があります。
  5. 連絡先情報の変更:メールアドレスや電話番号などの連絡先情報が変更された場合、詐欺師が不正行為の通知を受け取らせないようにしている可能性があります。

これらの警告サインに気づいた場合は、直ちに行動を起こすことが重要です。金融機関に連絡し、不正な活動やアカウント情報の変更を報告してください。ログイン情報を変更し、二要素認証を有効にしてアカウントのセキュリティを強化してください。警戒を怠らず、迅速に行動することで、アカウント乗っ取り詐欺から自分を守ることができます。

アカウント乗っ取り詐欺が成功する理由

アカウント乗っ取り詐欺が成功する理由はいくつかあります。以下は、アカウント乗っ取り詐欺の成功に寄与する主な要因です:

盗まれたログイン情報

詐欺師がアカウントを乗っ取る主な方法の一つは、ログイン情報を盗むことです。これはフィッシング詐欺、ソーシャルエンジニアリング戦術、またはダークウェブで盗まれた情報を購入することで行われます。詐欺師が有効なログイン情報を取得できれば、アカウントを乗っ取り、不正行為を行うことができます。

多要素認証の欠如

多要素認証(MFA)は、ユーザーがパスワードに加えて第二の識別形式を提供することを要求するセキュリティ対策です。これには指紋スキャン、電話に送信されるコード、または他の認証形式が含まれます。アカウントにMFAが有効でない場合、詐欺師が盗まれたログイン情報を使用してアカウントを乗っ取るのが容易になります。

弱いパスワード

ユーザーが弱いパスワードを選択すると、詐欺師がパスワードを推測したり、解読したりしてアカウントにアクセスするのが容易になります。多くの人は「password」や「123456」のような簡単なパスワードを使用しており、詐欺師にとって推測しやすいです。

監視の欠如

アカウント所有者が定期的にアカウントを監視しない場合、不正行為が発生したときに気づかない可能性があります。これにより、詐欺師が長期間にわたって不正行為を続けることができるようになります。

ソーシャルエンジニアリング戦術

詐欺師はしばしばソーシャルエンジニアリング戦術を使用して、アカウント情報やログイン情報を取得します。これには、カスタマーサービス担当者や他の信頼できる個人を装って、アカウント所有者を騙して機密情報を提供させることが含まれます。

アカウント乗っ取り詐欺の被害に遭った場合の対処法

アカウント乗っ取り詐欺の被害に遭った場合、被害を最小限に抑え、さらなる詐欺を防ぐために直ちに行動を起こすことが重要です。以下は、取るべきステップです:

アカウント提供者に連絡する

最初のステップは、金融機関やメールホスト、その他のアカウント提供者に連絡し、不正行為を報告することです。彼らはアカウントを凍結し、不正行為の調査を開始することができます。

パスワードを変更する

まだ行っていない場合は、直ちにパスワードを変更してください。このアカウントに固有の強力なパスワードを選択し、可能であれば二要素認証を有効にしてください。

クレジットレポートを確認する

クレジットレポートを確認し、不正なアカウントや活動がないか確認してください。主要なクレジットビューローのそれぞれから年に一度、無料でクレジットレポートを請求できます。

アカウントを監視する

すべてのアカウントを注意深く監視し、さらなる不正行為の兆候がないか確認してください。不審な活動を発見した場合は、直ちに金融機関に報告してください。

警察に報告する

アカウント乗っ取り詐欺の一環として個人情報が侵害されたと考える場合は、警察に報告してください。これにより、不正な請求やあなたの名義で開設されたアカウントを争うのに役立ちます。

身元盗難保護を検討する

クレジットレポートを監視し、不審な活動を警告する身元盗難保護サービスへの加入を検討してください。

自己教育を行う

アカウント乗っ取り詐欺がどのように発生するのか、そして将来それを防ぐために何ができるのかについて学ぶ時間を取ってください。

これらのステップを踏むことで、アカウント乗っ取り詐欺による被害を最小限に抑え、将来再び発生するのを防ぐための対策を講じることができます。

アカウント乗っ取り詐欺を対象とした連邦および州の法律

アカウント乗っ取り詐欺は、多くの個人や企業に影響を与える深刻な問題です。この種の詐欺に対抗するために、連邦および州の法律が制定され、消費者を保護し、加害者を責任追及することが求められています。以下は、アカウント乗っ取り詐欺を対象とした連邦および州の法律の例です。

連邦法

電子資金移動法(EFTA)および規制E:これらの法律は、金融機関が不正な電子資金移動から消費者を保護することを要求しています。また、金融機関は報告された不正取引を調査し、解決することを義務付けられています。

グラム・リーチ・ブライリー法(GLBA):この法律は、金融機関が顧客の非公開個人情報を保護するための適切なセキュリティ対策を講じることを要求しています。金融機関はまた、個人情報が侵害された場合、顧客に通知することが義務付けられています。

公正信用報告法(FCRA):この法律は、消費者がクレジットレポート上の不正確または不正な情報を争う権利を与えており、アカウント乗っ取り詐欺を防ぐのに役立ちます。

コンピュータ詐欺および不正使用法(CFAA):この法律は、他人のオンラインアカウントを含むコンピュータまたはコンピュータシステムへの不正アクセスを違法としています。CFAAの違反者は、民事および刑事罰を受ける可能性があります。

身元盗難および仮想通貨抑止法(ITADA):この法律は、他人のオンラインアカウントを乗っ取ることを含む、他人の身元を合法的な権限なしに使用または転送することを連邦犯罪としています。

州法

データ侵害通知法:多くの州には、データ侵害で個人情報が侵害された場合、企業が消費者に通知することを要求する法律があります。これにより、消費者はアカウント乗っ取り詐欺から自分を守るための措置を講じることができます。

消費者保護法:一部の州には消費者データ保護法があり、不正なアカウント乗っ取りを含む欺瞞的なビジネス慣行を禁止しています。

統一商事法典(UCC):UCCは、電子資金移動を含む商取引を規制する法律のセットです。多くの州がUCCを採用しており、アカウントからの不正な転送から消費者を保護する条項が含まれています。

これらの法律は、アカウント乗っ取り詐欺から消費者を保護し、金融機関や詐欺師に対して責任を追及するための重要な保護を提供しています。

Kiteworksでアカウント乗っ取り詐欺を防ぐ

Kiteworksのプライベートコンテンツネットワークは、アカウント乗っ取り詐欺のリスクを軽減するために、さまざまな方法で組織を支援します。

  • 多要素認証:Kiteworksは、多要素認証(MFA)をセキュリティ対策として提供しています。これにより、詐欺師がログイン情報を取得してもユーザーアカウントを乗っ取るのを防ぐことができます。
  • 詳細な権限設定:Kiteworksは、管理者がユーザーに対して詳細な権限を設定できるようにし、許可された個人のみが機密コンテンツにアクセスできるようにします。これにより、不正アクセスを防ぎ、アカウント乗っ取り詐欺のリスクを軽減できます。
  • 活動の監視:Kiteworksは詳細な活動監視を提供し、管理者がユーザーの活動を追跡し、不審な活動を検出できるようにします。これにより、アカウント乗っ取り詐欺の可能性を問題化する前に特定することができます。
  • セキュリティツールとの統合:Kiteworksは、データ損失防止(DLP)を含むさまざまなセキュリティツールと統合し、追加のセキュリティ層を提供します。
  • 安全なコラボレーション:Kiteworksは、コラボレーションやファイル共有のための安全なプラットフォームを提供し、ユーザーがメールやその他の安全でない方法で機密情報を共有する必要性を減らします。

Kiteworksがどのようにして顧客をアカウント乗っ取り詐欺から保護するのかを知るために、カスタムデモをスケジュールしてください。

 

リスク&コンプライアンス用語集に戻る

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約
Share
Tweet
Share
Explore Kiteworks