2024.12.02Siftによる不正・リスク関連略語の完全ガイド

  • #不正トレンド
  • Facebook
  • はてなブックマーク

本記事は、Sift Science, Inc.のBlog記事「Sift’s Universal Guide to Fraud & Risk Acronyms」を日本語に翻訳したものです。

本記事の著作権は、Sift Science, Inc.および同社の国内パートナーである株式会社スクデットに帰属します。

Sift Trust and Safety Team 著/ 2024年8月16日

デジタルリスクは日々変化しており、企業にとっては新たな課題や不正行為への対応が求められる状況が続いています。この包括的かつ常に更新可能な不正・リスク関連の略語集は、頻繁に使用されるものからまれにしか使用されない用語までを網羅し、オンライン不正から企業や事業者を守るための重要なリソースとしてご活用いただけます。

#

  • 2FA (Two-factor Authentication,二要素認証):ユーザーがアカウントやシステムにアクセスする際、2種類の異なる認証方法を要求するセキュリティプロセス 
  • 3DS (3-D Secure,3-Dセキュア):カード発行会社(イシュア)による追加認証を行う不正防止対策

A

  • ACH (Automated Clearing House)Fraud(自動決済ネットワーク詐欺):全米自動決済協会が運営する自動決済ネットワークを悪用して資金を不正に取得する行為 
  • ACL (Access Control List、アクセス制御リスト):ネットワークリソースにアクセスするための権限を定義し、許可されたユーザーのみが特定のデータにアクセスできるようにするルールセット
  • AES (Advanced Encryption Standard、高度暗号化基準):データを判読不能な形式に変換する、広く使用される対称暗号化アルゴリズム
  • AO (Account Opening、口座開設):金融機関やサービスプロバイダーで新規口座を作成するプロセス。このプロセスは、不正の標的になることが多く、不正者は盗んだIDや偽装したIDを使って口座を作ろうとする
  • APT (Advanced Persistent Threat、持続的標的型攻撃):長期間にわたる標的型サイバー攻撃で、侵入者がネットワークに不正にアクセスし続ける
  • ATO (Account Takeover、アカウント乗っ取り):オンライン不正の悪質な形態で、不正犯が被害者のデバイス、電子メールアカウント、銀行口座、その他のオンラインアカウントを制御する
  • AV (Antivirus、アンチウイルス):マルウェアの検出、防止、除去を目的としたソフトウェア
  • AVS (Address Verification System、住所確認サービス):オンラインフォームやページ上でのクレジットカードやデビットカードの不正取引を防止するツール

B

  • BIA (Business Impact Analysis、ビジネスインパクト分析):業務機能やビジネスプロセスへの中断がもたらす影響を予測する評価
  • BIN (Bank Identification Number、銀行識別番号):クレジットカード番号の最初の6桁のことで、発行元の銀行や金融機関を識別するために使用される。
  • BIOS (Basic Input/Output System、バイオス):ハードウェアの初期化を実行し、オペレーティングシステムにランタイムサービスを提供するために使用されるファームウェア
  • BOTS (Robots、ボット):インターネット上でタスクを自動的に実行するソフトウェアアプリケーション。サイバー攻撃で悪用されることがある
  • BPA (Business Process Automation、ビジネスプロセス自動化):技術を活用して反復的な手作業を自動化し、効率性の向上と人為的なエラーを減少させる手法

C

  • CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart、キャプチャ):ユーザーが人間かボットかを判断し、自動化された不正を防止するためのツール
  • CB (Chargeback、チャージバック):カードのユーザーが異議申し立てをした際にカード所有者や発行銀行が行うクレジットカード取引の取り消し
  • CIRT (Computer Incident Response Team、シーサート):組織内のセキュリティ侵害やサイバー脅威への対応を担当するグループ
  • CISO (Chief Information Security Officer、最高情報セキュリティ責任者):組織の情報とデータのセキュリティを監督する役割を担う幹部
  • CVE (Common Vulnerabilities and Exposures、共通脆弱性識別子):既知のサイバーセキュリティ脆弱性の公開リスト
  • CIO (Chief Information Officer、最高情報責任者):情報およびコンピュータ技術の管理と実装を担当する上級役員
  • CNP (Card Not Present、カード非提示取引):カード所有者がカードを物理的に提示しない取引
  • CP (Card Present、カード提示取引):販売時点で物理的な支払いカードを提示するタイプの取引で、不正のリスクが軽減される
  • CSV (Comma-Separated Values):カンマで値を区切るファイル形式で、システム間のデータ交換に使用されることが多い

D

  • DDoS (Distributed Denial of Service):システムのリソースを圧迫し、正当なユーザーが利用できなくする攻撃
  • DMZ (Demilitarized Zone):内部のローカルエリアネットワーク(LAN)を他の信頼できないネットワークから分離する物理的または論理的なサブネットワーク
  • DLP (Data Loss Prevention):機密データの紛失、悪用、不正アクセスを防止する戦略及びツール
  • DNS (Domain Name System):ドメイン名をIPアドレスに変換するシステム

E

  • EB (Empty Box):購入者が購入した商品ではなく空のパッケージを受け取ったと虚偽の報告をする不正
  • EDR (Endpoint Detection and Response):エンドユーザーのデバイスを監視し、サイバー脅威を検出・対応するセキュリティソリューション
  • EPP (Endpoint Protection Platform、エンドポイント保護プラットフォーム):デバイスレベルで脅威を検出・ブロックする統合セキュリティソリューション
  • E2EE (End-to-End Encryption、エンドツーエンド暗号化):送信者と受信者だけがメッセージを読み取れるデータ転送方法

F

  • FIPS (Federal Information Processing Standards、連邦情報処理規格):コンピュータのセキュリティと相互運用性を確保するために米国連邦政府が定めた情報処理に関する基準
  • FTID (Fake Tracking ID):不正犯が偽造または改ざんした追跡番号を提供して、商品が配送されたと虚偽の証明を行う不正手段
  • FTP (File Transfer Protocol):クライアントとサーバー間でコンピュータファイルを転送するための標準的なネットワークプロトコル

G

  • GDPR (General Data Protection Regulation):欧州連合(EU)内の個人データ保護及びプライバシーを規定する規則
  • GRC (Governance, Risk Management, and Compliance、ガバナンス、リスク、コンプライアンス):組織の全体的なガバナンス、リスク、コンプライアンスを統合的に管理するアプローチ

H

  • HIPAA (Health Insurance Portability and Accountability Act、医療保険の相互運用性と説明責任に関する法律):医療情報を保護するためのデータプライバシーとセキュリティ規定を定めた米国の法律
  • HIDS (Host-based Intrusion Detection System、ホストベースIDS):単一のホストを監視し、不審な活動を検出するソフトウェア
  • HTML (HyperText Markup Language):WebページやWebアプリケーションの作成に使用される標準的なマークアップ言語

I

  • IAM (Identity and Access Management):適切な個人が適切なタイミングで適切なリソースにアクセスできるようにするフレームワークと技術
  • IBAN (International Bank Account Number、アイバン):国際取引において、国境を越えて個々の銀行口座を特定するために使用される一意の識別子
  • IDS (Intrusion Detection System):ネットワークまたはシステムの活動を監視し、悪意のある行為やポリシー違反を検出するシステム
  • IoT (Internet of Things):インターネットに接続され、データの収集と交換が可能な物理デバイスのネットワーク
  • IP (Internet Protocol):標準的なネットワーク上で実行されるデジタルメディア転送システム。「IPスプーフィング」攻撃で悪用される可能性がある
  • IPsec (Internet Protocol Security):各IPパケットを認証および暗号化することでインターネット通信を保護するプロトコル群
  • IPS (Intrusion Prevention System):ネットワーク上の悪意のある活動を監視し、それを防ぐための行動を取るシステム

J

  • JWT (JSON Web Token):2者間で転送される情報(クレーム)をコンパクトでURL セーフな形式で表現する手段。Webアプリケーションでの安全な認証によく使用される
  • JIT (Just-In-Time):ユーザーに必要なときだけ、必要最小限の期間で高い権限を付与する方法。これにより、権限の乱用リスクを低減する

K

  • KPI (Key Performance Indicator):組織が主要目標をどれだけ効果的に達成しているかを示す測定可能な値
  • KYB (Know Your Business、法人確認):金融機関や他の企業が、不正行為を防止し、規制を確実に遵守するために、事業体の所有者や主要な利害関係者の身元と正当性を確認するために使用するデューデリジェンスプロセス
  • KYC (Know Your Customer):企業が顧客の身元を確認し、潜在的なリスクを評価するプロセス

L

  • LDAP (Lightweight Directory Access Protocol):分散型ディレクトリ情報サービスにアクセスし、維持するためのオープンでベンダーに依存しないプロトコル
  • LEA (Law Enforcement Agency):法律の執行を担当する政府機関

M

  • MFA (Multi-Factor Authentication、多要素認証):ユーザーの身元を確認するために、独立した複数の認証方法を必要とするセキュリティ システム
  • MITM (Man-In-The-Middle):攻撃者が二者間の通信を密かに傍受し、場合によっては改ざんするサイバー攻撃
  • MSSP (Managed Security Service Provider、マネージドセキュリティサービスプロバイダ):セキュリティシステムとデバイスの監視及び管理をアウトソーシングで提供しているサードパーティ企業

N

  • NAD/SNAD (Not as Described/Significantly Not as Described):購入者が、受け取った商品が説明と異なる、または著しく異なると主張する不正な異議申し立て
  • NDA (Non-Disclosure Agreement):当事者間の秘密保持関係を確立する法的契約
  • ND/INR (Not Delivered/Item Not Received):購入者が購入した商品を受け取っていないと主張する異議申し立て
  • NIDS (Network-based Intrusion Detection System、ネットワーク型IDS):ネットワークトラフィックを監視し、不審な活動を検出するシステム
  • NIST (National Institute of Standards and Technology、米国国立標準技術研究所):測定基準の開発と推進を行う米国の機関。

O

  • OSINT (Open Source Intelligence、オシント):公開されている情報源から収集された情報
  • OTP (One-Time Password、ワンタイムパスワード):1 回のログイン セッションや取引にのみ有効なパスワード

P

  • PAM (Privileged Access Management、特権アクセス管理):ユーザー、アカウント、プロセスに対する特権アクセスと権限を保護、管理、監視するためのツールとプロセス
  • PCI DSS (Payment Card Industry Data Security Standard):クレジットカード情報を受け入れ、処理、保存、送信するすべての企業が安全な環境を維持するためのセキュリティ基準のセット
  • PII (Personally Identifiable Information、個人情報):個人を識別、連絡、または所在確認するために使用できる情報
  • PKI (Public Key Infrastructure、公開鍵認証基盤):デジタル証明書と公開鍵暗号化を管理するためのフレームワーク
  • POD (Proof of Delivery):商品が配達されたことの証拠。通常は未配達に関連する異議申し立てを解決するために使用される
  • POS (Point of Sale):小売取引が完了する場所またはシステム。カード決済の処理と関連することが多い
  • PSD2 (Payment Services Directive 2、欧州決済サービス指令2):決済サービスプロバイダーの運営方法が定められた欧州連合(EU)の規則のセット
  • PSD3 (Payment Services Directive 3):決済サービスプロバイダーの運営方法に関する既存のEU規則(PSD2)の改訂版で、将来導入予定
  •  PSP (Payment Services Provider):企業と消費者の間で電子決済を仲介するサードパーティ企業(マーチャントサービスプロバイダーとも呼ばれる)
  • PSR (Payment Services Regulations):EU加盟国の決済サービスと銀行の責任を管理する欧州委員会の規制案

Q

  • QSA (Qualified Security Assessor、認定セキュリティ評価機関):企業のPCI DSS (Payment Card Industry Data Security Standard)への準拠を監査および評価するために、Payment Card Industry Security Standards Council (PCI SSC) によって認定された個人に与えられる称号
  • QoS (Quality of Service):主にネットワークで使用されるが、サイバーセキュリティでは、特に重要なセキュリティ対策が重要でないネットワークトラフィックよりも優先されるように、セキュリティサービスのパフォーマンスと信頼性について議論する際に関連することがある

R

  • RBAC (Role-Based Access Control、ロールベースアクセス制御):組織内のユーザーの役割に基づいて、システムアクセスを制限するアプローチ
  • RDP (Remote Desktop Protocol、リモートデスクトッププロトコル):Microsoftが開発したプロトコルで、ユーザーがネットワーク接続を介して別のコンピューターにグラフィカルインターフェイスで接続することを可能にする
  • ROI (Return on Investment):投資の効率性または収益性を評価するためのパフォーマンス指標
  • RNG (Random Number Generator):ランダムな数列を生成するデバイスやアルゴリズムで、予測が困難な数列を提供する

S

  • SAFE (Self Assessment Fraud Examination):組織内の潜在的な不正リスクを評価するために使用されるプロセスまたはツール
  • SCA (Secure Customer Authentication、強固な顧客認証):欧州連合(EU)の決済サービス指令2(PSD2)に基づく規制要件で、電子決済においてユーザーの身元確認のために多要素認証を義務付けている
  • SIEM (Security Information and Event Management、シーム):ITインフラ全体のさまざまなリソースからの活動を集約して分析するソフトウェア
  • SOC (Security Operations Center):人材、プロセス、技術を活用して組織のセキュリティ体制を継続的に監視および改善する組織内の集中管理機能。
  • SOC2 (Service Organization Control 2):顧客データを扱う組織のためのコンプライアンス基準で、データの安全な管理と保護を確保する。SOC2は「トラストサービス基準」の5つ、セキュリティ、可用性、処理の完全性、機密保持、プライバシーに基づいている
  • SQLi (SQL Injection、SQLインジェクション):データベースを破壊する可能性があるコードインジェクション手法
  • SSH (Secure Shell):安全でないネットワーク上で安全なチャネルを提供するプロトコル
  • SSL (Secure Sockets Layer):サーバーとクライアント間で暗号化されたリンクを確立するための標準セキュリティ技術
  • SSO (Single Sign-On):ユーザーが1組のログイン資格情報で複数のアプリケーションにアクセスできるようにする認証プロセス

T

  • TC40:カードネットワークによって生成されるレポート。不正取引に関する情報を提供し、カード発行社は不正の傾向を追跡するために使用する
  • TLS (Transport Layer Security):SSLの後継で、コンピュータネットワーク上で安全な通信を提供する
  • TTP (Tactics, Techniques, and Procedures、戦術・技術・手順):サイバー攻撃者の行動を説明する用語

U

  • UEBA (User and Entity Behavior Analytics、ユーザとエンティティの行動分析):ユーザーやエンティティの行動を分析し、内部脅威、標的型攻撃、金融不正などを検出するサイバーセキュリティプロセス
  • URL (Uniform Resource Locator):インターネット上のリソースのアドレス

V

  • VMPI (Visa Merchant Purchase Inquiry):Visaを通じて、加盟店が発行者と取引の詳細を共有し、異議申し立てに迅速に対応できるシステム
  • VPN (Virtual Private Network):パブリックネットワーク全体にプライベートネットワークを拡張し、ユーザーが自分のデバイスがプライベート ネットワークに直接接続されているかのようにデータを送受信できるようにする技術
  • VULN (Vulnerability):システムに存在する弱点で、悪用されるとシステムのセキュリティが侵害される可能性がある
  • VLAN (Virtual Local Area Network):異なる物理LANのデバイスを組み合わせたネットワーク内のサブグループ
  • VRR (Visa Resolve Online):Visaが提供する、加盟店とカード発行会社(イシュア)間の異議申し立てやチャージバックを解決するためのオンラインツール

W

  • WAF (Web Application Firewall):Webアプリケーションを保護するために、HTTPトラフィックをフィルタリングおよび監視するファイアウォール
  • WPA (Wi-Fi Protected Access):ワイヤレスコンピュータ ネットワークを保護するために設計されたセキュリティプロトコル
  • WORM (Write Once, Read Many):一度だけデータをディスクに書き込み、その後は消去や変更を防ぐデータストレージ技術

X

  • XDR (Extended Detection and Response):複数のセキュリティ製品を統合して、一貫したセキュリティ運用システムを構築するアプローチ
  • XSS (Cross-Site Scripting、クロスサイトスクリプティング):セキュリティの脆弱性により、攻撃者が信頼できる Webサイトのコンテンツに悪意のあるスクリプトを挿入できてしまう攻撃

Y

  • YARA (Yet Another Recursive Acronym):コード内の特定のパターンに基づいてマルウェアを識別および分類するためのパターンマッチングツール
  • YK (YubiKey、ユビキー):2要素認証に使用されるハードウェア認証デバイスで、ワンタイムパスワード、公開鍵暗号、および認証プロトコルをサポートする

Z

  • ZKP (Zero-Knowledge Proof、ゼロ知識証明):ある主張が真実であることを、主張の正当性以外の情報を一切明らかにせず証明する方法
  • ZTNA (Zero Trust Network Access、ゼロトラストネットワークアクセス):プライベートネットワーク上のリソースにアクセスしようとするすべての人物とデバイスに対して厳格な本人確認を要求するセキュリティモデル。

さらに学習リソースをお探しですか?Siftの「Trust & Safety University」をぜひご覧ください。

関連記事

不正対策Blog 一覧