Payoneerのビジネスは信用が第一であり、その信用の大部分は、Payoneerのサービスを受けている限り、資金が安全に守られていることから生まれています。

決済サービスを選択することは重要な意志決定であり、手数料が安く柔軟な決済オプションや、その他の付加価値サービスが素晴らしくとも、堅牢なセキュリティインフラストラクチャを基盤に構築されたソリューションでなければ、意味がありません。Payoneerを利用している世界中の何百万というお客様のクロスボーダー決済を管理し、ビジネスの成長をサポートするとともに、アカウントのセキュリティを確保することがPayoneerにとってのの最優先事項です。

Payoneerの技術、運用、および経験は、Payoneerユーザーを標的としたあらゆる種類のサイバー攻撃を阻止する上で極めて貴重な存在であることが実証されています。これは、Payoneerのサイバーセキュリティ戦略の基盤のひとつである、アカウントの乗っ取り（ATO：Account Takeover）攻撃を緩和する、多層アプローチにより明確に示されています。

Payoneerが多くのユーザーの信頼を勝ち得ている理由をよりよく理解していただくため、ここでは、セキュリティツールとリスク管理機能を組み合わせてアカウントの乗っ取り攻撃からユーザーの皆様を保護している方法についてご説明します。

まずは、ATOとその潜在的な影響力について見てみましょう。

アカウントの乗っ取りとは？

ATOは、攻撃者がユーザーのログイン資格情報を盗んでアカウントに侵入し、個人情報にアクセスできるようにします。アカウントにアクセスするために悪用されるのには、一般的にいくつかの手口があります。

• クレデンシャルスタッフィング – この攻撃は、以前のデータ侵害により窃取したログイン情報を悪用して、アカウントにアクセスします。
• ソーシャルエンジニアリング – この攻撃は、ハッカーがサイト管理者または他の信頼できる人物を装い、ユーザーにログイン詳細情報を提供するように仕向けるものです。フィッシングのメールとテキストメッセージは、ソーシャルエンジニアリング攻撃を実行する最も一般的な手法です。

フィッシング詐欺メールの例:URLのロケーションがPayoneerドメインではないことに注意してください。

• ブルートフォース攻撃 – 攻撃者がボットを使用して、アカウントが正常に破られるまで大量のユーザー名/パスワードの組み合わせをプラットフォームに入力する攻撃です。

アカウントの乗っ取りを防止するための、いくつかの簡単な方法があります。まずは、新たなオンラインサービスに登録する際は、常に一意のユニークなパスワードを使用するようにしてください。これにより、ひとつのアカウントが侵害されても、攻撃者はその資格情報を悪用して、他のプラットフォームのアカウントに侵入することができません。さらに、ソーシャルエンジニアリング攻撃を受ける可能性のあるEメールやメッセージに注意を払い、誰にもパスワードを提供しないことが重要です。Payoneerが、Eメール、電話、またはチャットであなたのユーザー名、またはパスワードを尋ねることは絶対にありません。

以下は、PayoneerがATO攻撃を検出して緩和するために実行しているいくつかの手順です。

ATOを予防し検出するPayoneerの多層アプローチ

Payoneerでは、アカウントの乗っ取りを防ぐため、ボットやハッカーがユーザーのアカウントにアクセスしないように予防的手段を適用しています。これらには次のものが含まれます。

• 二段階認証-Payoneerでは、二段階認証を用いて、不正アクセスを防止します。二段階認証のプロセスでは、モバイルデバイスや電話にコードを送信することで、特定のアカウント関連のアクティビティに操作を追加します。
• CAPTCHAリクエスト – ログインページを含め、システム上のいくつかの場所でCAPTCHAチャレンジを使用しています。これにより、ボットがユーザーアカウントを強要するのを防止します。

• ウェブアプリケーションファイアウォール（WAF）– クラウドベースとインハウスの両方のWAFを使用してボットを検出し、それらがPayoneerのサイトに到達するのを防ぎます。
• ボットの位置を特定するソフトウェア – タイピングの速度やマウスの動作などの要素に基づき、Payoneerのウェブサイト上のボット活動を追跡するソフトウェアを使用しています。さらに、ボットがユーザーパスワードを記録しないように、ウェブブラウザのパスワードフィールドをわかりにくくすることが可能です。
• 重複サイトのトラッキング – 攻撃者がATOを実行するために使用する手法の1つは、別のドメイン名でサイトを複製することです。そして、ユーザーを欺き、不正なサイトにアクセスしてログイン情報を入力させるためにソーシャルエンジニアリング攻撃が実行されます。Payoneerは最先端のソフトウェアを使用して重複したサイトを追跡し、実際に不正サイトであることを確認した後、それを無効にします。
• プロアクティブなユーザーアカウント検索 – 複数のサイバーインテリジェンスサービスを使用して、侵害された顧客アカウントの詳細について、クリアネットとダークウェブの両方をプロアクティブに検索します。そこでユーザーのログイン情報が発見された場合は、すぐに通知されパスワードが変更されます。

上記の手段により、多くのATO攻撃を効果的にブロックすることができますが、これらだけでは必ずしも十分とは言えません。ハッカーは、ユーザーアカウントに侵入する新しいツールや手口を絶えず開発しており、攻撃を予防するだけでは不十分です。Payoneerでは、上記で概説した予防システムの上に、以下のような攻撃を検出する、高度なツールや機能を導入しています。

1.ゲートキーパー：RSA Adaptive Authentication

RSA Adaptive Authenticationは、国、IPアドレス、トランザクションサイズなどのリスク要因を評価し、アカウントの異常を特定する、直感的なGUIを備えたユーザー検証システムです。システムがATOの兆候を示すアクティビティを検出した場合は、アカウントのセキュリティを確保するために、セキュリティに関する質問などの追加の識別ステップが実行されます。

Payoneerの脅威検出システムは、最新の統計的機械学習の技術を活用しています。これにより、新たな脅威にリアルタイムで対応し、ログに記録することができ、常にハッカーの数歩先を行くことで、ユーザーに完全なデータ保護を提供します。

2.セレクター：ルールベースの監視

当社のルールベースの監視エンジンは、事前定義されたルールを使用して、ユーザーアカウントに対する不審な振る舞いを識別する、バックエンドツールです。一旦ルールが起動されると、Payoneerのフォレンジックアナリストが状況を調査して、アカウントが乗っ取られているかどうかを判断することができます。

たとえば、異常に大きな金額の口座振替、特にそれが新しいPayoneer口座への振替の場合は、Payoneerのルールエンジンが起動し、状況調査が実行されます。ATOであることが判明すると、アカウントの活動は直ちに停止され、その所有者に通知されます。

3.プロテクター：リスクモデルと行動プロファイリング

複雑なリスクモデルや行動プロファイリングプログラムを使用して、不審なユーザー取引を分析します。これらの分析から得られた情報は、アカウントの乗っ取りの兆候を示す悪意のある行動を予測するために使用されます。

たとえば、Payoneerのリスクモデルは、特定の国への異常な回数のクロスボーダー決済や、新しいデバイスからの大量のトランザクションのような不審な行動に関するデータを調査し、同様な事例を示すアカウントにフラグを立てるために使用します。

4.フェイルセーフ：カスタマーフィードバック

Payoneerが使用する技術がいかに進歩しても、人間の直感に代わるものはまだありません。だからこそ、Payoneerではユーザーとのコミュニケーションを絶え間なく続けています。そうすることで、アカウントへの不審なアクティビティをすばやく検出することができ、フラグを立てて上記の手順を適用することができます。

ATOは、ユーザーとサービスプロバイダーの両者にとって、プロアクティブかつ革新的な緩和策を必要とする性質の脅威と言えます。この記事で、Payoneerが行なっているセキュリティ対策をすべて開示することはできませんが、侵害緩和策によって、悪意のあるアクターやボットが機密データにアクセスするのを積極的に阻止し、アカウントを保護するために不審なアクティビティに対して直ちに対応できることは確かです。

こうした理由から、Amazon、Airbnb、Googleをはじめとする世界有数のデジタルブランドと、世界中の何百万もの中小規模企業がPayoneerを信頼し、アカウントのセキュリティを常に第一に考えていることが広く認識されています。アカウントのセキュリティに関するご質問は、カスタマーサクセスマネージャーまたはカスタマーケアチームまでお気軽にお問い合わせください。

*現在、二段階認証はヨーロッパおよびその他特定の国で利用可能であり、今後数カ月でPayoneerが普及している国全てで展開される予定です。