進化するモバイル決済と不正対策：アプリ時代のセキュリティ強化 (JA)

ポイント1 モバイルアプリケーション決済は、その増加する取引量とリモートでの悪用の可能性から、詐欺師にとって格好の標的となっています。

ポイント2 SMSによるOTPなどの従来のセキュリティ対策は、傍受されやすくなっており、より強力な認証方法での補強が必要です。

ポイント3 デバイスインテリジェンス、生体認証、行動分析を活用することが、モバイル決済アプリケーションにおける不正を軽減するための鍵となります。

ポイント4 mSISDN認証は有用ですが、信頼性が低下しており、多層的なセキュリティアプローチのために他のデータポイントと組み合わせる必要があります。

モバイルアプリケーション決済と不正の台頭

世界はモバイル化へと向かっています。モバイルアプリケーション決済は、利便性、アクセシビリティ、スマートフォンの普及により、爆発的な成長を遂げています。Statistaの予測では、2024年の世界的なモバイル決済取引額は3.7兆ドルに達し、今後も増加すると予想されています。しかし、この成長には、これらのプラットフォームを標的とする巧妙な不正手口の増加も伴います。従来のカード決済とは異なり、モバイル決済はリモート性という要素が加わり、詐欺師に悪用されています。主な課題は、ユーザーの身元を確認し、ユーザーエクスペリエンスを損なうことなく、取引の整合性を確保することです。

モバイル決済における一般的な不正スキームを理解する

モバイルアプリケーション決済を特に標的とする、いくつかの不正スキームがあります。以下に最も一般的なものをいくつか示します。

• ボット攻撃: 自動化されたボットが、偽のアカウントを作成したり、不正な取引を実行したり、機密データをスクレイピングしたりするために使用されます。これらのボットは、基本的なセキュリティ対策を回避し、システムを圧倒することができます。
• SMS傍受（SIMスワップ）: 詐欺師がユーザーの電話番号を制御し、SMSで送信されるワンタイムパスコード（OTP）を傍受できるようにします。これはますます一般的になっており、SMSベースの二要素認証は効果がなくなっています。
• アカウント乗っ取り（ATO）: ハッカーが、フィッシング、マルウェア、または認証情報の使い回しを通じて、正規のユーザーアカウントに不正にアクセスします。
• mSISDNスプーフィング: モバイル加入者統合サービスデジタルネットワーク番号（mSISDN）–基本的に電話番号–が、正規のユーザーになりすますためにスプーフィングされます。mSISDN認証はよく使用されますが、その信頼性は低下しています。
• マルウェア & トロイの木馬: ユーザーのデバイスにインストールされた悪意のあるソフトウェアが、機密情報を盗んだり、トランザクションを傍受したり、アプリの動作を操作したりする可能性があります。

これらのスキームによる経済的影響は甚大です。Juniper Researchによると、小売業者は2022年にオンライン決済詐欺で342億ドルを失っており、その大部分はモバイルチャネルに起因しています。

モバイル決済セキュリティの強化：多層認証

モバイルアプリケーション決済の堅牢なセキュリティ戦略には、単純なパスワードやSMS OTPを超えた、多層的なアプローチが必要です。効果的なテクニックの内訳は以下のとおりです。

デバイスインテリジェンス

デバイスの特性を分析することで、不審なアクティビティを明らかにすることができます。これには以下が含まれます。

• デバイスフィンガープリンティング: ハードウェアとソフトウェアの構成に基づいて、各デバイスに一意の識別子を作成します。
• ジオロケーション: ユーザーの現在地を、過去の場所と請求先住所と比較します。
• オペレーティングシステム & ブラウザ分析: 古い、または脆弱なソフトウェアバージョンを識別します。
• Root/Jailbreak検出: 侵害されたデバイスをフラグ付けします。

生体認証

顔認識や指紋スキャンなどの生体認証は、パスワードよりも強力な認証を提供します。生体認証は、ユーザーの固有の生物学的特徴を利用するため、詐欺師がなりすますのが困難です。スプーフィング攻撃を防ぐために、高度な生存性検出技術が不可欠です。

行動バイオメトリクス

これは、ユーザーがアプリとどのように対話するかを分析します–タイピング速度、スワイプパターン、タッチプレッシャー、およびナビゲーション行動。ユーザーの通常の行動からの逸脱は、不正なアクティビティを示す可能性があります。これはボット攻撃を検出するのに非常に効果的です。

mSISDN認証（賢く使用する）

mSISDN認証は依然として一般的なプラクティスですが、唯一のセキュリティ対策として信頼すべきではありません。SIMスワップやSMS傍受のリスクが高まっているため、他の認証要素と組み合わせる必要があります。リスクスコアリングモデルにおける1つのデータポイントとして使用することを検討してください。

Diditはモバイルアプリケーション決済のセキュリティをどのように支援しますか

Diditは、モバイルアプリケーション決済のセキュリティという課題に特に対処するように設計された包括的なIDプラットフォームを提供します。私たちは以下を提供しています。

• 高度な生存性検出: スプーフィング攻撃を防ぐためのiBeta Level 1認定生存性検出。
• 生体認証: 強力なユーザー認証のための安全な顔認識と指紋スキャン。
• デバイスインテリジェンス: 包括的なデバイスフィンガープリンティングとリスクスコアリング。
• 不正シグナル: IPアドレス、デバイスデータ、行動シグナルの分析による不審なアクティビティの検出。
• ワークフローオーケストレーション: 特定のリスクプロファイルに合わせて調整されたカスタム検証フローを構築します。
• 再利用可能なKYC: ユーザーが複数のトランザクション間でIDを安全に再利用できるようにします。

Diditのプラットフォームは、SDKとAPIを介して既存のモバイルアプリケーションとシームレスに統合され、摩擦のないユーザーエクスペリエンスを提供しながら、不正リスクを大幅に軽減します。

今すぐ始めましょうか？

不正がモバイル決済の収益を損なうことはありません。今すぐDiditに連絡して、当社のIDプラットフォームがトランザクションを保護し、顧客を保護する方法について学びましょう。

デモをリクエスト

料金を見る

FAQ

Q: モバイル決済のSMSベースの二要素認証の最大の弱点は何ですか？

最大の弱点は、SIMスワップやマルウェアによるSMS傍受を受けやすいことです。詐欺師はOTPを傍受し、セキュリティ対策をバイパスできます。したがって、SMS 2FAのみに依存することはもはや十分ではありません。

Q: モバイルアプリのボット攻撃をどのように検出し、防止できますか？

デバイスフィンガープリンティング、行動バイオメトリクス、CAPTCHAチャレンジを実装することで、ボット攻撃を検出し、防止することができます。同じIPアドレスから多数のアカウントが作成されているなど、異常なアクティビティパターンを監視することも重要です。

Q: 生体認証を使用する利点は、従来のパスワードを使用する利点と比較してどのようなものですか？

生体認証は、パスワードよりもはるかに安全です。なぜなら、複製が困難な固有の生物学的特徴に基づいているからです。また、ユーザーは複雑なパスワードを覚える必要がないため、より便利なユーザーエクスペリエンスも提供します。

Q: 過剰な個人データを収集することなく、ユーザーの身元はどのように確認できますか？

Diditのアプローチは、機密性の高い個人情報を保存することなく、ユーザーとデバイスの*生存性*を確認することに重点を置いています。セルフイメージをメモリ内で処理し、ブール値の結果（例：「is_live」、「face_match_success」）のみを返すため、ユーザーのプライバシーが確保されます。