年次イベント”CrowdTour”ご登録受付中!TOKYO(5/22開催)ご登録はこちら | OSAKA( 5/21開催)ご登録はこちら

合成アイデンティティ詐欺の概要

アイデンティティベースの攻撃は、侵害したアイデンティティを利用してシステムやネットワークにアクセスするタイプのサイバー攻撃です。次に、よく見られる8個のタイプのアイデンティティベース攻撃を示します。

  1. フィッシング

  2. クレデンシャルスタッフィング攻撃

  3. ゴールデンチケット攻撃

  4. Kerberoasting

  5. MITM(中間者)攻撃

  6. Pass the Hash攻撃

  7. パスワードスプレー攻撃

  8. シルバーチケット攻撃

いずれも検知が難しい攻撃で、信じられないほど蔓延しています司法統計局によると、2021年に米国では約2,390万人が何らかの形のアイデンティティ窃取を経験しました。こうした攻撃は、多くの場合、被害者がアイデンティティ窃取を報告して初めて発覚します。

ただし、悪意あるアクターの最近の動向によると、既存の個人情報を利用する従来の方法を避け、代わりに合成アイデンティティ詐欺に頼るようになってきました。合成アイデンティティ詐欺では、盗んだ詳細情報と自ら作った詳細情報とを統合して合成アイデンティティを作成します。この記事では、合成アイデンティティ詐欺の性質と影響、および防御戦略を見ていきます。

合成アイデンティティ詐欺とは

アイデンティティ窃取とは従来、既存の個人のアイデンティティを盗んで悪用することを指します。一方、合成アイデンティティ詐欺では、本物の詳細情報と捏造した詳細情報とを混ぜ合わせて偽のアイデンティティを作成します。こうして作られたアイデンティティは、書類上では正当なもののように見えますが、実際の人物を表すものではありません。

詐欺師は多くの場合、時間をかけてこうした合成アイデンティティを構築します。信用履歴を確立し、財務上の足跡を残して、信頼性を高めようとします。この形式の詐欺は、単一の既存のアイデンティティを盗むことに頼らないため、従来の詐欺検知対策がうまく回避されてしまうケースが多々見られます。

合成アイデンティティに含まれるコンポーネントにはどのようなものがあるか

  • 捏造された情報。架空の名前、住所、生年月日など、まったく不備のない情報が作られることがあります。
  • 実際の情報。運転免許証番号、社会保障番号、さらには正規の住所など、盗んだデータや侵害したデータが含まれることもよくあります。

捏造した情報と実際の情報とを混ぜ合わせた場合、合成アイデンティティの検知と追跡が困難になり、防御側にとっては複雑な課題となります。

アイデンティティ保護戦略策定の完全ガイド

レジリエンスの高いアイデンティティセキュリティポスチャに向けた第一歩を踏み出し、アイデンティティ保護戦略策定の完全ガイドをダウンロードして、組織のデジタルアイデンティティ環境を今すぐ保護しましょう。

 今すぐダウンロード

データ取得のよくある方法

合成アイデンティティの作成に必要な情報を詐欺師がどうやって集めるかと言うと、多くの場合、データセキュリティと個人のプライバシーの脆弱性を悪用します。

  • データ侵害:大規模なデータ侵害により膨大な量の個人情報が公開されます。詐欺師はそれを悪用して合成アイデンティティを構築します。
  • ソーシャルエンジニアリング:詐欺師は、愛情、金銭、恐怖などの動機を利用して、詐欺的な心理的手口で個人を操り、個人情報を漏らすように仕向けます。 
  • ソーシャルメディア:悪意あるアクターが、ソーシャルメディアなどのツールを利用して、後でソーシャルエンジニアリング戦術を使用して悪用できるようにアカウントから入手可能な大量の情報を収集します。 
  • ダークウェブ:盗まれたデータは、ダークウェブで売買されることが多く、合成アイデンティティの作成にすぐに利用できる情報源となっています。

検知と防御の課題

合成アイデンティティは、実際の情報と捏造された情報が複雑に入り混じっているという性質上、金融エコシステムに密かに侵入されて、従来の詐欺検知メカニズムが回避されてしまうケースが多々見られます。合成アイデンティティ詐欺は、検知と防御に次のような特有の課題をもたらします。

  • 紛れ込む:合成アイデンティティは正当な振る舞いを模倣するように設計されており、実際のアイデンティティと区別するのは容易ではありません。
  • 信用構築:詐欺師は、時間をかけて合成アイデンティティの信用スコアを辛抱強く構築して、より正当なものに見せかけます。
  • 検証の難しさ:従来の検証方法では、一般的な詐欺アラートがトリガーされないといった理由で、合成アイデンティティの識別が困難になるケースが多々見られます。

合成アイデンティティ詐欺の影響

合成アイデンティティ詐欺は、社会のさまざまな分野に波及する広範囲の結果をもたらす可能性があります。この犯罪の影響は金融機関だけにとどまりません。企業、個人、さらにはデジタルシステム全体に対する信頼にも影響を及ぼします。

金銭的損失

合成アイデンティティ詐欺は、不正融資や信用枠の未払いを引き起こしうるため、金融機関が主な被害者となるケースがよく見られます。不正な取引やチャージバックによる損失に直面する企業もあり、事業運営や収益性に影響が及びます。

合成アイデンティティに実際のデータが含まれている個人も影響を受ける可能性があります。債務の連鎖に縛られ、信用スコアの修復のために信用情報の異議申し立てに苦闘することになりかねません。

評判の低下

合成アイデンティティ詐欺の被害に遭った企業は、直接的な金銭的損失以上の損害に直面することになります。次のような事態を招く可能性があります。

  • 消費者の信頼の損失
  • ネガティブな評判
  • 顧客離脱
  • ブランドイメージの失墜

このような損害は、会社の市場での地位と将来の成長に悪影響を及ぼします。

消費者の信頼 

金融機関、オンラインプラットフォーム、デジタル取引に対する消費者の信頼も打撃を受けます。詐欺が巧妙化して検知が困難になるにつれ、個人は個人情報の共有やオンライン活動への参加に警戒するようになり、これが電子商取引やデジタルサービスの成長を妨げます。こうして信頼が低下すると、セキュリティ上の懸念から企業や消費者が新しいテクノロジーやサービスの導入を躊躇してしまうため、イノベーションや経済発展に影響を及ぼします。

クラウドストライク
2025年版
グローバル脅威
レポート

クラウドストライク
2025年版
グローバル脅威
レポート

必読の年次サイバーセキュリティレポートをご覧ください。

ダウンロード

合成アイデンティティ詐欺に対抗するための戦略

合成アイデンティティ詐欺に対処するには、革新的で包括的な戦略が必要です。

高度な分析 

AI/MLアルゴリズムを活用すると、膨大なデータセットを分析し、合成アイデンティティの存在を示す微妙なパターンや異常を特定できます。高度な分析ツールでは、取引履歴、クレジット申請、振る舞いデータを調べて、次のような疑わしいアクティビティにフラグを付けることができます。

  • 異常に速い信用構築
  • 一貫性のない支出パターン
  • 属性を共有する複数のアイデンティティの使用

これらのシステムでは、継続的に学習して適応することで、進化し続ける詐欺の手口を検知し、合成アイデンティティのリアルタイム識別の精度を高めることができます。

検証プロセスの強化 

合成アイデンティティ詐欺を阻止するには、堅牢なアイデンティティ検証対策を実装することが不可欠です。MFA(多要素認証)では、ユーザー名とパスワードだけでなく、アイデンティティを複数の形式で提示する必要があります。MFA(多要素認証)により、不正なアカウントアクセスのリスクが大幅に軽減されます。 

指紋スキャンや顔認識などの生体認証方法を組み込むと、セキュリティ層を重ねることができるため、詐欺師が正規のユーザーを装うことが難しくなります。ただし、生体認証では、クレジット申請や金融詐欺のためだけに作成された合成アイデンティティを防御できない可能性があります。こうしたアイデンティティはユーザーレベルの認証をバイパスすることが多いためです。

厳格なKYC(顧客確認)プロトコルを必要に応じて適用した場合、個人は有効な文書を提出して徹底した身元調査を受けることが義務付けられるため、合成アイデンティティの利用をさらに妨げることができます。

コラボレーション 

合成アイデンティティ詐欺は、組織の境界を越えた複雑な問題です。そのため、この脅威に効果的に対抗するには、さまざまな関係者間のコラボレーションが重要です。 

  • 金融機関は、安全なプラットフォームを通じて疑わしい活動や確認されている合成アイデンティティに関するデータを共有して、共同で詐欺のネットワークを摘発することができます。
  • 政府機関は、出生記録や社会保障番号などの信頼できるデータソースにアクセスして、アイデンティティの真正性を確認できます。 
  • 企業は、詐欺行為検知に関するインサイトや経験を共有することで貢献できます。
Identity Protection Services data sheet cover

アイデンティティ保護サービスデータシート(英語)

こちらのデータシートをぜひダウンロードしてください。Falcon Identity Protectionソリューションを最適に導入して、エンドポイントの侵害や認証情報の不正使用による企業ネットワークへの不正アクセスを阻止する方法を解説しています。

 アイデンティティ保護サービスデータシートをダウンロードする

クラウドストライクによる合成アイデンティティ詐欺対策 

合成アイデンティティ詐欺は、複雑なデータ操作を伴う行為であり、包括的な防御が必要になる重大な脅威です。この新種の詐欺が及ぼす影響には、金銭的損失、評判の失墜、消費者信頼の低下などがあります。

この脅威に対抗するには、合成アイデンティティ詐欺の微妙な差異を理解して、堅牢な対策を講じる必要があります。高度な分析、厳格な検証プロセス、組織間のコラボレーションはすべて、リスクを軽減し、金融システムの整合性を確保することに寄与します。

CrowdStrike Falcon® Next-Gen Identity Securityは強力なソリューションを提供します。高度なAIネイティブなリアルタイムデータ分析とプロアクティブな防御対策により、疑わしいアクティビティを検知してブロックし、詐欺師による被害を事前に阻止します。 

また、CrowdStrike Falcon® Adversary OverWatchでは、認証情報のモニタリングにより、ダークウェブに存在し、アンダーグラウンドマーケットで販売されている侵害された認証情報を特定することもできます。Falcon Next-Gen Identity Securityを使用すると、パスワードのリセット、2FAチャレンジ、アカウントの無効化などを自動化して、リアルタイムで行うことができます。

ライアン・テリーは、クラウドストライクのシニアプロダクトマーケティングマネージャーとして、アイデンティティセキュリティを担当しています。サイバーセキュリティの分野で10年以上のプロダクトマーケティングの経験を持ち、以前はSymantec、Proofpoint、Oktaに勤務していました。ブリガムヤング大学で経営学修士号 (MBA) を取得しています。