インターネットで不正行為を行うユーザーの特徴をグラフ化するとこうなる

By Christophe Verdier

スパムメールやDoS攻撃など、オンラインで発生する不正行為にはさまざまなものがあり、ユーザーにとっては迷惑きわまりないことです。そんなオンラインで発生する不正行為を分析して調査しているSift Scienceが不正行為をはたらくユーザーの特徴を分かりやすいグラフにして公開しています。

Seven Habits of Highly Fraudulent Users - Sift Science Blog
http://blog.siftscience.com/seven-habits-of-highly-fraudulent-users/

インターネットにおける不正行為の1日に発生する件数をグラフ化したものが以下になります。不正行為の件数は午前4時ごろから上昇し、午前10時には1日のピークに到達。昼休みであるはずの12時から13時前後にも不正件数はほとんど落ちることがなく、14時ごろから徐々に低下し始めます。

下記のグラフは縦軸がインターネットにおけるユーザー全体の動向のうち不正行為がしめる割合を、横軸が1日の時間を示しています。不正行為の割合が特に高くなるのは午前2時から午前3時。反対に6時から22時までの不正行為の割合はグッと低くなっていることがわかります。Sift Scienceによると、不正行為の多くは、一般の人が働いていない、つまり会社のPCを使用していない時間に発生しているとのこと。

不正行為をはたらくユーザーが使用するメールのドメイン名の割合をグラフ化したものが以下になります。「.ca(カナダ)」「.br(ブラジル)」「.jp(日本)」「.mx(メキシコ)」「.fr(フランス)」などの国別トップレベルドメインが多く使用され、特に「.in(インド)」の割合は2％を突破しています。

Sift Scienceによると、不正行為をはたらくユーザーは1台のデバイスに複数のアカウントを登録しているので、デバイスに登録されたアカウントの数が多いほど、不正行為を行っている可能性が上がるとのこと。下記のグラフはデバイスに登録したアカウントの数と、そのユーザーが不正行為を行っている可能性をグラフにしたものです。グラフをみると、4～7個のアカウントを1台のデバイスに登録しているユーザーは、不正行為を行っている可能性が通常ユーザーよりも15倍高くなっています。

不正行為に利用されるフリーメールドメインはどのサービスが多いのかSift Scienceが調べたところ、Microsoftのサービスが圧倒的に人気。下記のグラフは不正行為に利用されるフリーメールのドメイン名を、使用されている割合に応じて列挙したもので、黄色がMicrosoftが提供しているサービスになります。ダントツであるのは「outlook.com」で、それに続いて「live.com」「hotmail.com」となっています。Microsoftのサービスが不正行為に利用される理由について、「Microsoftのサービスは昔からあり、当時はアカウントを作成するのが非常に簡単であったため」とSift Scienceは推測。

不正行為をはたらくユーザーはメールアドレスに数字を多く含める傾向があることがSift Scienceによって判明しています。不正行為を行っている可能性とメールアドレスに含まれる数字の個数をグラフ化したものが以下になり、数字を5～8つ含むメールアドレスが約2％でトップ。ただし、数字を1つしか含まないメールアドレスでも約1.7％と、他に比べて少なくない割合なので、メールアドレスに含まれる数字の個数だけで判断するのはやめておいたほうがよさそう。

不正行為をはたらくユーザーは、いわゆる「捨て垢」を使用する傾向があり、作成したアカウントをすぐに破棄できるように準備しているので、アカウントの使用期間が長ければ長いほど、そのユーザーが不正行為をはたらいている可能性が下がるというわけ。不正行為を行っている可能性とアカウントの使用期間をグラフにすると、使用期間0日のアカウントは不正行為を行っている可能性が3％ですが、およそ15日ほどで1％まで減少。使用期間が60日を超えると1％以下になり、不正行為をはたらいている可能性は一段と低下します。

Sift Scienceの調査内容をまとめると、例えば、夜中の2時から3時までの間に受信したメールが、アドレスに数字を多く含み、かつ、Microsoftのサービスのドメインもしくはインドのトップレベルドメインであると、スパムメールである可能性が高くなります。Sift Scienceの調査内容だけを不正行為かどうかの判断基準にするのは少し無理がありますが、頭の片隅に置いておくとよさそうです。