Amazon Fraud Detector は、2025 年 11 月 7 日をもって新規顧客に公開されなくなりました。Amazon Fraud Detector と同様の機能については、Amazon SageMaker、AutoGluon、および を参照してください AWS WAF。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# アカウント乗っ取りに関するインサイト
<a name="account-takeover-insights"></a>

Account Takeover Insights (ATI) モデルタイプは、悪意のある乗っ取り、フィッシング、または盗まれた認証情報によってアカウントが侵害されたかどうかを検出することで、不正なオンラインアクティビティを識別します。Account Takeover Insights は、オンラインビジネスからのログインイベントを使用してモデルをトレーニングする機械学習モデルです。

トレーニング済みの Account Takeover Insights モデルをリアルタイムログインフローに埋め込んで、アカウントが侵害されているかどうかを検出できます。このモデルは、さまざまな認証タイプとログインタイプを評価します。これには、ウェブアプリケーションログイン、API ベースの認証、single-sign-on (SSO) が含まれます。Account Takeover Insights モデルを使用するには、有効なログイン認証情報が表示されたら、[GetEventPrediction](https://docs.aws.amazon.com/frauddetector/latest/api/API_GetEventPrediction.html) API を呼び出します。API は、アカウントが侵害されるリスクを定量化するスコアを生成します。Amazon Fraud Detector は、スコアと定義したルールを使用して、ログインイベントの 1 つ以上の結果を返します。結果は、設定した結果です。受け取った結果に基づいて、ログインごとに適切なアクションを実行できます。つまり、ログインに提示された認証情報を承認またはチャレンジできます。たとえば、追加の検証としてアカウント PIN をリクエストすることで、認証情報にチャレンジできます。

Account Takeover Insights モデルを使用して、アカウントログインを非同期的に評価し、高リスクアカウントに対してアクションを実行することもできます。たとえば、高リスクのアカウントを人間のレビューワーの調査キューに追加して、アカウントを停止するなど、さらにアクションを実行する必要があるかどうかを判断できます。

Account Takeover Insights モデルは、ビジネスの過去のログインイベントを含むデータセットを使用してトレーニングされます。このデータを提供します。オプションで、アカウントを正当または不正としてラベル付けできます。ただし、モデルのトレーニングには必要ありません。Account Takeover Insights モデルは、アカウントの正常なログイン履歴に基づいて異常を検出します。また、悪意のあるアカウント乗っ取りのイベントのリスクの増加を示唆するユーザーの行動の異常を検出する方法についても説明します。たとえば、通常、同じデバイスと IP アドレスのセットからログインするユーザーです。不正行為者は、通常、別のデバイスや位置情報からログインします。この手法では、アクティビティが異常であるリスクスコアが生成されます。これは通常、悪意のあるアカウント乗っ取りの主な特徴です。

Account Takeover Insights モデルをトレーニングする前に、Amazon Fraud Detector は機械学習手法を組み合わせてデータエンリッチメント、データ集約、データ変換を実行します。次に、トレーニングプロセス中に、Amazon Fraud Detector は指定した raw データ要素を強化します。raw データ要素の例には、IP アドレスとユーザーエージェントが含まれます。Amazon Fraud Detector は、これらの要素を使用して、ログインデータを記述する追加の入力を作成します。これらの入力には、デバイス、ブラウザ、位置情報の入力が含まれます。Amazon Fraud Detector は、指定したログインデータを使用して、過去のユーザー動作を記述する集計変数を継続的に計算します。ユーザー動作の例には、ユーザーが特定の IP アドレスからサインインした回数が含まれます。これらの追加のエンリッチメントと集計を使用すると、Amazon Fraud Detector はログインイベントからの小さな入力セットから強力なモデルパフォーマンスを生成できます。

Account Takeover Insights モデルは、不正なアクターが人間かロボットかに関係なく、正当なアカウントが不正なアクターによってアクセスされるインスタンスを検出します。このモデルは、アカウントの侵害の相対リスクを示す単一のスコアを生成します。侵害された可能性のあるアカウントには、高リスクアカウントとしてフラグが付けられます。高リスクアカウントは、2 つの方法のいずれかで処理できます。どちらの場合も、追加の ID 検証を適用できます。または、手動調査のためにアカウントをキューに送信することもできます。

## データソースの選択
<a name="selection-training-data-source-ATI"></a>

Account Takeover Insights モデルは、Amazon Fraud Detector に内部的に保存されたデータセットでトレーニングされます。Amazon Fraud Detector でログインイベントデータを保存するには、ユーザーのログインイベントを含む CSV ファイルを作成します。イベントごとに、イベントタイムスタンプ、ユーザー ID、IP アドレス、ユーザーエージェント、ログインデータが有効かどうかなどのログインデータを含めます。CSV ファイルを作成したら、まずファイルを Amazon Fraud Detector にアップロードしてから、インポート機能を使用してデータを保存します。その後、保存されたデータを使用してモデルをトレーニングできます。Amazon Fraud Detector でイベントデータセットを保存する方法の詳細については、「」を参照してください。 [Amazon Fraud Detector を使用してイベントデータを内部に保存する](storing-event-data-afd.md)

## データの準備
<a name="preparing-training-data-ATI"></a>

Amazon Fraud Detector では、UTF-8 形式でエンコードされたカンマ区切り値 (CSV) ファイルでユーザーアカウントのログインデータを指定する必要があります。CSV ファイルの最初の行には、ファイルヘッダーが含まれている必要があります。ファイルヘッダーは、各データ要素を記述するイベントメタデータとイベント変数で構成されます。イベントデータは ヘッダーに従います。イベントデータの各行は、単一のログインイベントからのデータで構成されます。

Accounts Takeover Insights モデルでは、CSV ファイルのヘッダー行に次のイベントメタデータとイベント変数を指定する必要があります。

** イベントメタデータ**

CSV ファイルヘッダーには、次のメタデータを指定することをお勧めします。イベントメタデータは大文字にする必要があります。
+ EVENT\$1ID - ログインイベントの一意の識別子。
+ ENTITY\$1TYPE - マーチャントや顧客など、ログインイベントを実行するエンティティ。
+ ENTITY\$1ID - ログインイベントを実行するエンティティの識別子。
+ EVENT\$1TIMESTAMP - ログインイベントが発生したときのタイムスタンプ。タイムスタンプは UTC の ISO 8601 標準である必要があります。
+ EVENT\$1LABEL (推奨) - イベントを不正または正当として分類するラベル。「fraud」、「legit」、「1」、「0」など、任意のラベルを使用できます。

**注記**  
イベントメタデータは大文字である必要があります。大文字と小文字が区別されます。
ログインイベントにはラベルは必要ありません。ただし、EVENT\$1LABEL メタデータを含め、ログインイベントのラベルを指定することをお勧めします。ラベルが不完全または散発的であれば問題ありません。ラベルを指定すると、Amazon Fraud Detector はそれらを使用してアカウント乗っ取り検出率を自動的に計算し、モデルパフォーマンスチャートとテーブルに表示します。

** イベント変数**

Accounts Takeover Insights モデルでは、必須 (必須) 変数とオプション変数の両方を指定する必要があります。変数を作成するときは、必ず変数を適切な変数タイプに割り当ててください。モデルトレーニングプロセスの一環として、Amazon Fraud Detector は変数に関連付けられた変数タイプを使用して変数エンリッチメントと特徴量エンジニアリングを実行します。

**注記**  
イベント変数名は小文字にする必要があります。大文字と小文字が区別されます。

**必須変数**

Accounts Takeover Insights モデルのトレーニングには、次の変数が必要です。


| Category | 変数タイプ | 説明 | 
| --- | --- | --- | 
| IP アドレス | IP\$1ADDRESS | ログインイベントで使用される IP アドレス | 
| ブラウザとデバイス | USERAGENT | ログインイベントで使用されるブラウザ、デバイス、OS | 
| 有効な認証情報 | VALIDCRED | ログインに使用された認証情報が有効かどうかを示します | 

**オプションの変数**

以下の変数は、Accounts Takeover Insights モデルのトレーニングではオプションです。


| Category | 型 | 説明 | 
| --- | --- | --- | 
| ブラウザとデバイス | FINGERPRINT | ブラウザまたはデバイスのフィンガープリントの一意の識別子 | 
| セッション ID | SESSION\$1ID | 認証セッションの識別子 | 
| ラベル | EVENT\$1LABEL | イベントを不正または正当として分類するラベル。「fraud」、「legit」、「1」、「0」など、任意のラベルを使用できます。 | 
| タイムスタンプ | LABEL\$1TIMESTAMP | ラベルが最後に更新されたタイムスタンプ。これは、EVENT\$1LABEL が指定されている場合に必要です。 | 

**注記**  
両方の必須変数オプション変数に任意の変数名を指定できます。必須変数とオプション変数をそれぞれ適切な変数タイプに割り当てることが重要です。
追加の変数を指定できます。ただし、Amazon Fraud Detector には、Accounts Takeover Insights モデルをトレーニングするためのこれらの変数は含まれません。

## データの選択
<a name="selecting-training-data-ATI"></a>

データ収集は、Account Takeover Insights モデルを作成するための重要なステップです。ログインデータの収集を開始するときは、次の要件と推奨事項を考慮してください。

**必須**
+ 少なくとも 1,500 個のユーザーアカウントの例を示し、それぞれに少なくとも 2 つのログインイベントが関連付けられています。
+ データセットは、少なくとも 30 日間のログインイベントをカバーする必要があります。後で、モデルのトレーニングに使用するイベントの特定の時間範囲を指定できます。

**推奨**
+ データセットには、失敗したログインイベントの例が含まれています。オプションで、失敗したログインに「不正」または「正当」というラベルを付けることができます。
+ 6 か月を超えるログインイベントを含む履歴データを準備し、100Kのエンティティを含めます。

最小要件を満たしているデータセットがない場合は、[SendEvent](https://docs.aws.amazon.com/frauddetector/latest/api/API_SendEvent.html) API オペレーションを呼び出して Amazon Fraud Detector にイベントデータをストリーミングすることを検討してください。

## データの検証
<a name="training-data-validations-ATI"></a>

Account Takeover Insights モデルを作成する前に、Amazon Fraud Detector は、モデルをトレーニングするためにデータセットに含めたメタデータと変数がサイズと形式の要件を満たしているかどうかを確認します。詳細については、「[データセットの検証](create-event-dataset.md#dataset-validation)」を参照してください。また、他の要件もチェックします。データセットが検証に合格しない場合、モデルは作成されません。モデルを正常に作成するには、再度トレーニングする前に、検証に合格しなかったデータを修正してください。

**一般的なデータセットエラー**

Account Takeover Insights モデルをトレーニングするためのデータセットを検証すると、Amazon Fraud Detector はこれらの問題やその他の問題をスキャンし、1 つ以上の問題が発生した場合にエラーをスローします。
+ CSV ファイルは UTF-8 形式ではない。
+ CSV ファイルヘッダーには、、`EVENT_ID`、`ENTITY_ID`または のメタデータが少なくとも 1 つ含まれていません`EVENT_TIMESTAMP`。
+ CSV ファイルヘッダーには、、`IP_ADDRESS`、`USERAGENT`または の変数タイプの変数が少なくとも 1 つ含まれていません`VALIDCRED`。
+ 同じ変数タイプに関連付けられている変数が複数あります。
+ の 0.1% を超える値には、サポートされている日付とタイムスタンプ形式以外の null または値`EVENT_TIMESTAMP`が含まれています。
+ 最初から最後のイベントまでの日数が 30 日未満です。
+ 変数タイプの`IP_ADDRESS`変数の 10% 以上が無効なか null です。
+ `USERAGENT` 変数タイプの変数の 50% 以上が null を含んでいます。
+ 変数タイプのすべての`VALIDCRED`変数は に設定されます`false`。