Next-Gen WAF によるギフトカード詐欺対策

ギフトカード詐欺は年間で数億ドル規模の大きな問題となっています。しかしこの問題は、消費者だけに留まる話ではありません。ブラックフライデーの週末と商戦期が近づくにつれ、セキュリティチームは特に大きな影響を及ぼすような週末に混乱が起こらないよう、詐欺被害を減らす対策で慌ただしくなります。ギフトカード詐欺にはオンライン販売や eコマースを狙うものもあり、ブランドイメージの低下を引き起こし、消費者の大手リテールブランドへの信頼を失わせる事態を引き起こしています。

こうしたセキュリティ戦略の一部を従来型 WAF で実行するのは、可能ではあると思います。しかし、正規表現 (regex) ルールで作業することの難しさや、新しいポリシーをサイト全体に適用できるかどうかなどを考慮すると、簡単とはいえません。ブラックフライデーや商戦期に自社サイトを保護したいリテーラーは、Fastly Next-Gen WAF (NG-WAF) を採用することで、アプリケーションレイヤーで直接ギフトカード詐欺を防ぐことが可能になります。 

このブログ記事では、Fastly のお客様がギフトカード詐欺を検出、軽減してきた方法や、そうした技術を皆さんが今後の商戦期に向けてどのように活用できるかをご紹介します。

攻撃のしくみ

ダーク Web ウェブではさまざまな種類の違法データが販売されています。それらのデータにはメールアドレスや電話番号、マイナンバーといった個人情報だけでなく、リテーラーのギフトカード番号の流出データベースなどその他の重要性の高い情報も含まれます。 

Fastly のとあるお客様 (ここでは「リテーラー」と呼びます) は、攻撃者が流出したギフトカード番号を利用して大量の購入要求を行い、自社のギフトカード決済オプションを悪用している事実に気付いた時がありました。流出したギフトカード番号の大半は正規の方法で利用済みのもので残高はありませんでしたが、少額または多額の残高が残っているカード番号も存在していました。

攻撃者たちはリテーラーのサイト上にあるカード番号のリストを確認するだけでなく、ギフトカードの利用可能残高を増やす目的で同じ番号をより安い価格で再試行することもありました。すべてのギフトカードの価値を最大化することを目指していた攻撃者は、この高度に計算されたアクティビティによって、1秒間で膨大なリクエストを生みました。その速度が通常の人間による作業を大幅に超える速さであったことが、不正行為を示すきっかけになったのです。

検知と対策

大量のギフトカード利用の試行に気付いたこのリテーラーのセキュリティチームは、Fastly の Technical Account Management チーム (TAM) に相談してきました。私たちは NG-WAF のテンプレート化されたルールを活用して、こうした試行を簡単に防ぐサポートを提供しました。NG-WAF ではお客様の希望する識別子を利用してカスタムルールを簡単に作成できますが、Fastly はお客様が即座に利用できるルールも多数用意しています。私たちは、こうした対策がどれほど簡単に実践できるかをすべての方々に知ってほしいと考えていました。もちろん、皆さんがサポートを必要な際にいつでもお手伝いする準備も常に万端です。

上記のケースにおいて、リテーラーは「Gift Card Attempts (ギフトカード利用の試行)」と「Gift Card Failures (ギフトカード利用の失敗)」を特定するためにテンプレート化されたルールを利用しました。これにより、人間による正当な試行か、あるいは攻撃者が悪意のあるリクエストを行ったのかを簡単に識別することが可能になりました。

結果

過剰な試行が特定された際は、既知の攻撃者としてブロックリストに追加されました。これでギフトカード利用の試行は阻止できました。しかしブロックリストに追加されると、サイト全体へのアクセスや、その他の種類の悪意あるアクティビティの試行も同時にブロックされることになります。

NG-WAF の新しいルールを迅速、簡単に適用すると、eコマースサイトやリテーラーは新たな攻撃に対して効率的な方法で対策を講じられるようになります。今回のケースでは、アプリケーションレイヤーでインテリジェントに適用されたいくつかのシンプルなルールにより、巧妙さの度合いの高い攻撃を防ぎ、主にコスト削減やサイトパフォーマンス、顧客満足度、可視性といった重要な面でメリットを生み出しました。

コスト削減

1. 不正な料金請求の阻止 – 悪意のある攻撃を阻止することで、リテーラーは不正な注文への対処が不要になります。

2. セキュリティチェックを過度に増やさずに攻撃を阻止 – このソリューションは、少ないセキュリティチェックで攻撃者を特定、阻止し、IP アドレスに基づいてブロックするので、不要なリクエストをチェックする必要がありません。これによりお客様は、新しい攻撃に対応するのに毎秒多くのセキュリティチェックを実行したり、セキュリティを維持するために新たなプランにアップグレードしたりする必要がありません。 

3. 決済処理コストの削減 – このアプローチは悪意あるトランザクションをすべて処理するために発生するコストを抑えられるので、決済処理ベンダーに関わる費用を削減し、正当な決済処理にのみ料金を支払うことを可能にします。

パフォーマンス 

1. オリジンサーバーの健全性を維持 – リテーラーのシステムを悪意のあるトランザクションの試行で停滞させず、正当な購入のために必要な容量を確保します。さらにセキュリティチームは、有効な試行に対する信頼性を維持するために、不正なトラフィック対策向けにオリジンのキャパシティプランニングを行う必要がありません。 

2. セキュリティをエッジにオフロード – NG-WAF は Fastly のネットワークのパワーを利用して、エッジでこれらすべてを処理できます。つまり、より多くの作業をオリジンからオフロードし、Fastly の高速ネットワークがセキュリティを向上させつつ作業の速度低下も防ぎます。 

カスタマーエクスペリエンス

リテーラーが最も恐れているのは、カスタマーエクスペリエンスの質の低下です。その意味において、顧客がギフトカードを使用しようとして、当人以外の理由で残高を失っていることに気づくようなケースは大きな問題といえます。リテーラーが顧客に新しいギフトカードを提供してもそのカードの価値に対するイメージ低下は避けられません。また、顧客が新たなカードを入手できない場合は、リテーラー自身に対する不信感を抱かせてしまいます。 

NG-WAF のテンプレート化されたルールを活用してギフトカード詐欺を防止することで、満足度の高い優れた顧客体験を提供し、ブランドの価値や顧客の信頼性を失うような問題を未然に防ぎます。 

可視性

Fastly の NG-WAF は従来型のソリューション以上に優れた可視性を提供します。例えば今回紹介したリテーラーのセキュリティチームは、NG-WAF に悪意のある試行に利用されたギフトカード番号をリアルタイムで報告させることで、無効あるいはブロックされたカード番号の既知のリストと照合できるようにしました。これらの悪意のある試行を、詳細情報なしで即座にブロックし、さらに保護レイヤーを追加することもできました。 

まとめ

商戦期にオンラインショッピングを楽しむ消費者の数は増え続けており、WAF の最新化もこれまで以上に重要さを増しています。従来型 WAF が今回紹介したような問題への対応が困難で、適切な対策に時間を要するのに比べると、Next-Gen WAF は安全かつサイト全体への導入が可能なソリューションです。同時にそれは、テンプレート化されたルールやカスタムルールの構築により実現できる事柄のほんの一部でしかありません。よく詳しい情報をお知りになりたい方は、以下の記事をご覧になるか、今すぐ私たちにお問い合わせください。

• 正規表現ベースのソリューションの退化

• サイバーファイブ2021 : ニューノーマル？それとも以前のパターンの復活？

• Securing a Modern Online Experience that Demands Performance and Value

• プライベートアクセストークンと不正防止対策の未来

• 不正トラフィックの洪水を食い止める