サイバーセキュリティには、タイミングの問題がある。
企業は数十年にわたり、検知、対応、復旧の改善に取り組んできた。ファイアウォールは強化された。多要素認証が標準となった。不正検知分析は成熟した。インシデント対応の手順書はより洗練されたものになった。それでも、デジタルなりすまし、フィッシング、アカウント乗っ取り攻撃は増加し続けている。
不都合な真実は、ほとんどの防御策が依然として遅すぎるタイミングで作動しているということだ。
偽サイトが削除される頃には、認証情報はすでに窃取されている。異常なログイン行動がアラートを発する頃には、詐欺はすでに成功している。顧客が問題を報告する頃には、信頼はすでに損なわれている。業界は犯罪現場の事後処理には非常に長けているが、強盗が進行中にそれを阻止することにははるかに効果が低い。
攻撃活動と防御対応の間のこのギャップこそが、真の脆弱性である。これを「露出の窓」と呼ぼう。攻撃者が機械的な速度で動く世界において、この窓は危険なほど開いたままなのだ。
攻撃者がルールを変えた
境界防御が改善されるにつれ、攻撃者は適応した。強化されたインフラを突破しようとする代わりに、組織の境界外にいる人々を操作する方向にシフトしたのだ。
フィッシングキット、AI生成コンテンツ、ワンクリックのウェブサイト複製により、なりすましはスケーラブルなビジネスモデルに変貌した。説得力のある偽サイトは数分で作成できる。詐欺キャンペーンは、ほとんどの組織がその存在を知る前に、数千人の被害者に到達できる。
最近、MemcycoのCEOであるイスラエル・マジン氏と対談した際、同氏はこの変化を、多くの企業がいまだに対処に苦慮している外部の盲点だと表現した。「彼らが抱える問題は、特に組織の境界外において、顧客が多くのアカウント乗っ取り詐欺にさらされているということです」とマジン氏は語った。「彼らは誰が被害者で誰がハッカーなのかを知らなかったのです」
従来のブランド保護ツールは、悪意のあるドメインを発見し、削除を要請することに焦点を当てている。そのプロセスには数日から数週間かかることが多い。一方、被害は数時間で発生する。
ログイン後の不正検知ツールも同様の限界に直面している。これらは、認証情報が入力されるか、アカウントにアクセスされた後にのみ現れるシグナルに依存している。定義上、攻撃者がすでに成功した後に対応するのだ。
この問題は、努力や投資の不足ではない。攻撃の展開方法と防御が関与するタイミングとの不一致なのだ。
可視性は影響の後に到達する
この問題を最も明確に示す指標の1つは、組織がそもそもなりすまし攻撃をどのように発見するかである。多くの場合、それは内部検知によるものではない。顧客からの苦情、コールセンターの報告、またはソーシャルメディアの投稿を通じてなのだ。
それは早期警告ではない。インシデント後の認識である。
誰が標的にされているか、詐欺がどのように展開しているか、どのユーザーがリスクにさらされているかについてのリアルタイムの洞察がなければ、セキュリティチームと不正対策チームは反応的なモードを強いられる。調査は手作業になる。相関関係の特定には時間がかかる。意思決定は不完全な情報で行われる。行動が取られる頃には、影響範囲はすでに拡大している。
マジン氏が述べたように、多くの組織は攻撃が存在することは知っているが、その瞬間に誰が影響を受けているかは知らない。この区別は重要である。なぜなら、介入する能力は、詐欺がまだ進行中の間に被害者を見ることに依存しているからだ。
なぜタイミングが別のツールよりも重要なのか
セキュリティの進歩は、しばしばより優れた検知やより迅速な対応として位置づけられる。なりすましや詐欺に関しては、どちらも十分ではない。
重要なのは、攻撃のタイムライン中の介入である。
認証情報の窃取を防ぐことは、後で不正なログインをブロックすることとは根本的に異なる結果をもたらす。被害者が偽サイトとやり取りしている間に特定することは、後で補償するよりもはるかに効果的だ。不正による損失を削減することは重要だが、信頼の侵食を防ぐことは極めて重要である。
これは、成功をどのように測定すべきかを再定義する。誤検知を減らすことや平均対応時間を改善することだけでなく、露出の窓をほぼゼロに縮小することによってである。
それには、攻撃を静的な成果物ではなく、動的なプロセスとして扱うことが必要だ。
攻撃のより早い段階への移行
攻撃速度と防御対応の間の拡大するギャップは、市場がどのように進化するかに影響を与え始めている。
削除やログイン後の分析のみに依存するのではなく、なりすましが活発に展開している間に検知し、妨害することに焦点を当てた新しいアプローチが登場している。これらの取り組みは、介入がまだ結果を変える詐欺段階そのものの間に、被害者レベルの洞察を表面化することを目指している。
Memcycoは、この変化の一例である。同社は3700万ドルのシリーズA資金調達を発表し、総資金調達額は4700万ドルとなった。これは、事後的な事後処理ではなく、予防的でリアルタイムの保護を重視するモデルへの投資家の信頼のシグナルである。
同社は、アイデンティティや不正対策コントロールの代替として自社を位置づけるのではなく、補完的な役割として位置づけている。「我々はいかなるアイデンティティ管理ソリューションも置き換えるものではありません」とマジン氏は説明した。「我々はこれらを補完するものですが、何かが起こっているときにリアルタイムで検知し、対応します」
より広範な示唆は、市場がどこに向かっているかについてである。より早期の可視性、より迅速な介入、そして顧客報告を問題の最初のシグナルとして依存することの削減に向かっているのだ。
規制が賭け金を引き上げている
規制当局も同じメッセージを強化している。
英国では、詐欺被害者への義務的な補償ルールにより、損失が発生する前に不正を防ぐ責任が金融機関により大きく課せられている。米国では、規制当局は詐欺による不正と消費者保護への監視を強化し続けている。オーストラリアやシンガポールなどの市場でも同様の圧力が高まっている。
これらの政策は特定の技術を義務付けるものではないが、期待を確立している。反応的な防御はもはや十分ではない。組織は詐欺リスクに対する積極的なコントロールを実証しなければならない。
なりすまし攻撃がより自動化され、より説得力を増すにつれ、その期待は強まるばかりだろう。
デジタル信頼の再定義
その核心において、これは単なる不正の問題ではない。信頼の問題である。
顧客は、体験が本物のように感じられれば、偽サイトと本物のサイトを区別しない。どの内部チームがインシデントを担当しているかは気にしない。彼らが覚えているのは、ブランドが自分たちを守ったか、失敗したかである。
デジタル信頼は、侵害報告には決して現れない瞬間に保たれる。それは、被害が補償されるのではなく、防止されるときに維持される。そして、顧客が組織よりも先に攻撃を発見したときに最も速く失われる。
サイバーセキュリティの未来は、侵害後に誰が最も速く対応するかによって定義されるべきではない。損害が発生する前に露出の窓を閉じる者によって定義されるべきである。
