行動的生体認証とは?その種類&テクノロジー
行動的生体認証は、行動や身体活動を分析して、不正行為の防止と特定に役立てることができます。
行動的生体認証は、人がオンラインでどのように行動しているか、ユーザーがコンピューターやスマートフォンと物理的にどのようにやり取りをしているか(例えば、電話の持ち方やキーストロークのパターンなど)を認識し、その人が本当に本人であるかどうかを判断するのに役立ちます。これらの生体認証は、偽のユーザーと本物のユーザーの違いを見分けることができるため、個人情報の盗難(なりすまし)を防ぐのに役立ちます。
行動的生体認証の概要
ユーザーはそれぞれ、認知面でも物理的にも、コンピュータへのアクセス方法や操作方法が異なります。 行動的生体認証では、これらのパターンを分析して、ユーザーのオンラインとデジタル上のプロフィールを特定します。 行動的生体認証では、以下を使用できます。
- キーストロークの用途とパターン
- タッチスクリーンに触れる圧力や位置
- スマートフォンの持ち方や動かし方
- スクロール動作
- マウスの動作パターンと使用速度
すべてのユーザーは、特定の方法でコンピューターと相互作用します。行動的生体認証は、バックグラウンドでこれらのパターンを拾い上げ、ユーザーが本人であると判断することができます。
行動的生体認証が個人情報の盗難を防ぐ仕組み
連邦取引委員会(FTC)の報告によると、消費者からの詐欺の報告は200万件をはるかに超え、なりすまし詐欺とオンラインショッピング詐欺が、詐欺行為リストの上位を占めました。生体認証の使用は、オンライン取引を安全にし、個人情報の盗難を防ぐのに役立ちます。
署名は偽造されたり、パスワードやログイン情報は盗まれたりする可能性があります。しかし、ユーザーの直接的な行動やバイオメトリックパターンを模倣することははるかに困難です。行動的生体認証をスキャンするプログラムは、目立たないことが多く、エンドユーザーに気づかれることはありません。それらはバックグラウンドで実行され、ユーザーを特定する多数のデータを提供します。
現在、小売業者や銀行で使用されているセキュリティソフトウェアの多くには、詐欺やなりすましから保護するための行動的生体認証が組み込まれています。
標準的なセキュリティ対策における行動的生体認証のメリット
行動的生体認証を使用するシステムは、ユーザーに余分なステップを要求せず、標準的なセキュリティ対策よりもバイパスすることが難しくなります。
例えば、標準的なセキュリティ対策では、多要素認証(MFA)プロセスを使用することがよくあります。銀行は、ユーザー名とパスワードでログインし、その後、アカウントに完全にアクセスするためのテキストを受け取ることを要求します。しかし、電話番号もログイン認証情報も、マルウェアやなりすましによってハッキングされ、盗まれる可能性があります。
これに加えて、多くのユーザーは、口座にアクセスするのに余計なステップを踏むことを望んではいません。行動的生体認証を使えば、たとえユーザーのログイン情報や電話番号が漏洩したとしても、セキュリティレイヤーはさらに強化されます。サイバー犯罪者は、ユーザーがスマートフォンやコンピューターとどのようにやりとりしているかを正確に知る可能性ははるかに低くなります。
行動的生体認証は、ユーザーではない誰かがこれらのアカウントにアクセスしようとしているタイミングを特定するのに役立ちます。行動的生体認証は、個人を具体的に特定するのに非常に正確です。
銀行業界における生体認証とAMLコンプライアンス
金融機関や銀行は、銀行秘密法に基づくAML(マネーロンダリング対策)法規制を遵守することが義務付けられています。つまり、ユーザーが正当な人物であり、その資金が不審な行動や詐欺によって得られたものではない本物であることを確認する必要があります。
行動的生体認証は、金融機関がコンプライアンスを遵守するのに役立つと同時に、消費者のためにセキュリティをさらに強化することもできます。デジタルバンキングとモバイルバンキングアプリの利用は、新型コロナウイルス感染症の流行と全体的な利便性により爆発的に増加しています。
FBIは、このようなプラットフォームを介したサイバー犯罪や搾取のリスクも高まると警告しています。銀行や金融機関は、AMLコンプライアンスや詐欺防止メカニズムに資金を費やすことが必要であるとの認識を強めています。
行動的生体認証の実例
行動的生体認証が個人と企業を保護できる主な事例を3つご紹介します。
- 口座開設時の保護: ユーザーがまだ特定の企業や銀行機関の顧客ではない場合でも、行動的生体認証は、ユーザーか正当な人物かどうかを判断するのに役立ちます。行動的生体認証を採用する企業は、「悪い」行動を認識することで、犯罪行為や詐欺行為を解読するのに役立ちます。例えば、正規のユーザーがクレジットカードの申し込みフォームに情報を入力している場合、ユーザーはすでに自身の情報を把握しているため、ある程度のスピードで入力することができます。サイバー犯罪者はこの情報を探したり調べたりしなければならないことが多く、入力にタイムラグが発生する可能性があります。行動的生体認証はこの時間差を検出し、不正な口座を開設しようとする犯罪者を発見するのに役立ちます。
- アカウント乗っ取りからの保護: 行動的生体認証はログイン画面だけにとどまらず、ログインしている間やデジタルセッション中にもユーザーを保護し続けることができます。例えば、行動的生体認証と認知的生体認証によって、不正行為や疑わしい行為があれば、サイバー犯罪者がアクセスしたり送金したりする前に、フラグを立てて認識することができます。ユーザーは予測可能なパターンに固執する傾向があります。行動的生体認証は、何かが違うと判断し、レッドフラッグ(危険信号)を出すことができます。例えば、あるユーザーがいつも決まった方法でマウスを使ってスクロールしたり、特定のプラットフォームを使ってアカウントにアクセスしたりしていたのに、タッチスクリーンや別の方法を使って変更した場合、行動的生体認証はこれを発見し、追加の確認を求めることができます。
- ソーシャルエンジニアリング詐欺の検知: ソーシャルエンジニアリング詐欺は非常に一般的で、さまざまな手法でユーザーから機密情報を聞き出します。フィッシング詐欺では、頻繁に、ユーザーにマルウェアを含むリンクをクリックするよう促したり、一見正当で信頼できそうなサイトからログイン認証情報やパスワードを提供させたりします。行動的生体認証は、ユーザーのパターンやデジタルアクセスの方法が違っていることを認識します。それにより、実際に詐欺が行われる前にこうした一部の詐欺を阻止することができます。
多くの機密情報や金融情報がオンラインで保存され、アクセスされるようになるにつれ、詐欺やサイバー犯罪からユーザーと組織の両方を保護するための対策がますます重要になっています。Oktaは、最新のテクノロジーを採用し、プライバシーとセキュリティを確保しています。
参考文献
New Data Shows FTC Received 2.2 Million Fraud Reports from Consumers in 2020(2021年2月、米国連邦取引委員会(FTC))
Banks and Retailers Are Tracking How You Type, Swipe and Tap(2018年8月)The New York Times
Behavioral Biometrics is the Future of User Authentication(2019年5月、 Forbes)
Anti-Money Laundering (AML)(2021年、FINRA)
Increased Use of Mobile Banking Apps Could Lead to Exploitation(2020年6月、米連邦捜査局(FBI))
Does the Combination of AI. Biometrics Hold the Key to Stopping Identity Theft (and Money Laundering)?(2020年8月、TechWire Asia)