ニュース

EMCジャパン、Web利用者のページ遷移の癖から不正取引を見抜く「RSA Silver Tail」

EMCジャパン RSA事業本部 マーケティング部長の水村明博氏
ECサイトを狙うさまざまな脅威

 EMCジャパン株式会社は19日、Web上での利用者の行動遷移を解析して不正オンライン取引を検知する「RSA Silver Tail」を発売した。Webサイト内でサービス利用者が閲覧したページの軌跡を大量に収集し、大多数と異なる行動から不正なアクセスや疑わしい取引を発見、サービス事業者の事業損失を低減する。

 昨今、通販やSNSをはじめとするWebサイトでは、サイト会員のID・パスワード、アカウント情報、クレジットカード番号などの流出や、大量の不正アクセスを受けるといった事例が頻発している。例えば、ID・パスワードを使い回すユーザーが多いことから、流出したID・パスワードを使って別のサイトにアクセスを試みる「パスワードリスト攻撃」。万が一認証が突破されても、一見すると正当な会員によるアクセスにしか見えないため、境界型セキュリティ製品などでは見抜くのが難しい。

 しかし、不正利用者の行動には「複数のIDを同一のIPで使用する」「短時間に大量の商品を購入する」といった正規ユーザーとは異なる特徴があり、これを不正の発見に活用できると、EMCジャパン RSA事業本部 マーケティング部長の水村明博氏はいう。

 RSA Silver Tailは、Webサーバーの直前に構成することでWebセッションを解析。サイト利用者全体の膨大な行動遷移データを活用して、大多数の正規ユーザーの動きから大きく外れる行動、あるいは利用者個人の普段では見られない行動を検出することで、不正を見抜くという。

 具体的には、自己学習型エンジンによって利用者ごとのWebページ遷移(クリック単位)の特徴を把握。脅威をスコアリングしてしきい値を超えたものをアラートする。不正を検出する仕組みは「多くの正規ユーザーと比較して不正ユーザーを浮かび上がらせる技術」と「特定ユーザーの過去の行動と比較して不正ユーザーを浮かび上がらせる技術」で実現。アラートはダッシュボードに表示され、対応すべきインシデントの優先順位を一覧で表示する。

RSA Silver Tailによる検知
多くの正規ユーザーと比較して不正ユーザーを浮かび上がらせる
特定ユーザーの過去の行動と比較して不正ユーザーを浮かび上がらせる

 例えばパスワードリスト攻撃では「1つのIPから複数のユーザーIDを使ってアクセス」「/loginページのアクセスが以上に多い」などから攻撃を検知。ダッシュボードで詳細情報を見ると、途中でログインに成功していることや、どのユーザーIDで成功しているかなどが確認できる。他製品と連携することでリアルタイムに不正な通信を遮断するといったアクションも可能という。

パスワードリストの発見
ドリルダウンして行動の異常さを確認
さらに不正な行為による結果を確認
不正なショップレーティング引き上げ(自作自演による大量商品購入と高評価コメント記入)も検知。特定のユーザーが短時間に大量購入。注文ページに100回アクセスし、そのほとんどが1秒以下の連続アクセスといった異常な行動から不正を検知する
詳細の確認

 同製品は、米EMCが2012年12月に買収した製品。米国ではPayPal、Searsなどの金融機関や流通大手企業に多数の導入実績がある。日本でも9月19日より、ECサイト事業者、オンラインバンキング、オンライン証券などの金融・流通業を対象に販売を開始。ソフトウェアによる提供となり、価格はサイトの会員数によって異なる。例として会員数が10万人の場合で2920万円(保守・税別)。EMCジャパンでは今後2年間で30社への販売を目指す。