テレフォニーを使用した詐欺の防止または軽減
国際レベニューシェア詐欺(IRSF)(通話詐欺)とは、通信製品またはサービスに対する支払いを行う意思がなくその製品またはサービスを使用することを指します。このような詐欺で多く見られるのは、電話システムを使用して高額なルートで大量の国際電話をかける攻撃者です。通話詐欺は非常にコストが高く、業務に支障をきたす可能性があります。
通話詐欺攻撃を実行する人は、プレミアムレートの電話番号に電話をかけ、これらの通話から得られる収益を受け取ります。不正な通話行為に関連する費用は通信プロバイダーから顧客に請求されるため、攻撃を成功させる可能性を防止または最小限に抑えるための措置を講じることが重要です。
開始する前に
orgが次のいずれかに該当する場合は、この推奨事項とベストプラクティスを確認してください。
- 多要素認証に音声OTPまたはSMS OTPを使用している。
- 1つ以上のOkta orgでセルフサービス登録が有効になっている。
- いずれかのOkta orgで、OktaがホストするウィジェットまたはカスタムのSign-In Widgetを使用している。
- テレフォニーのユースケースに、Okta認証APIまたは要素APIを使用している。
- カスタムユーザープロビジョニングまたはセルフサービス登録ソリューションを有効にしている。
通話詐欺に対する自分のOkta orgの脆弱性
自分の所属するOkta orgが特定の活動を許可している場合は、通話詐欺攻撃に対して脆弱である可能性があります。
- ユーザーが強力なID証明を行うことなく自己登録できるようにしている。たとえば、カスタムユーザープロビジョニングを使用している場合、またはorgでセルフサービス登録ソリューションが有効になっている場合があります。
- 登録またはサインインアクティビティの認証要素として、音声またはSMSを許可している。
Oktaでは、音声によるMFAに対し常にバックエンドのセキュリティ対策を実施しています。ただし、orgに柔軟性を持たせるため、Oktaではアカウント作成にビジネスロジックを課していません。OktaではデフォルトでIDの証明や悪意のある可能性のあるユーザーの非アクティブ化は強制していません。
通話詐欺攻撃からOrganizationを保護する必要がある理由
通話詐欺攻撃からorgを保護するために尽力すべき実際的な理由は数多くあります。たとえば、通話詐欺攻撃によって自社のサービスに偽のアカウントが作成されます。偽のアカウントが急増すると、次のような結果を招く恐れがあります。
- 偽のアカウントを特定して削除するために、より高い運用コストが必要になる
- ユーザーベースの価値とユーザー情報の信頼性が低下する
- 不正な販売行為が発生する(該当する場合)
- 送信者番号がエンゲージメントの低い通信を生成していると識別された場合に、プロバイダーによって正当なトラフィックがブロックされる
通話詐欺攻撃は、次のような悪影響をもたらす可能性があります。
- 大量の有料トラフィックが発生し、正当なユーザーへの音声およびSMSメッセージの配信が遅延または妨げられる可能性がある。
- プロバイダーが特定の国からの番号をブロックし、正当なアカウントへのSMSおよび音声の配信がブロックされる可能性がある。
- 購入済み契約を超える使用およびテレフォニーAPIの使用にかかるコストの増加
Oktaがお客様のために通話詐欺を減少させる方法
Oktaでは、通話詐欺の影響を軽減させるべく、以下の対策を実施しています。
- SMSおよび音声トラフィックのサービスに対する上限設定:Okta orgがサービスの上限に達すると、すべての音声およびSMSトラフィックに対するMFAが24時間ブロックされます。この場合、要求を行った受信者はHTTP 429エラーメッセージを受信します。
- ユーザーごとの音声およびSMSのレート制限:1人のユーザーがorgに不利益をもたらす大量の不正通話を送信しないように、登録レート制限が適用されます。
- アクティブな攻撃中のアラート:Okta orgでアクティブな通話詐欺攻撃が発生した場合は、Oktaサポートチームから通知されます。
通話詐欺を減らすために実行できる手順
Oktaでは、次の手順に従って通話詐欺行為からorgを保護し、攻撃による影響を軽減することをお勧めします。
ネットワークゾーンを使用して不正なトラフィックの事前認証をブロックする
Okta orgにアクセスを試行している悪意のあるIPアドレスを認識した場合は、ネットワークゾーンを使用してトラフィックの事前認証をブロックできます。これにより、攻撃者がOktaのサインインページおよび登録ページにアクセスできなくなります。「IPアドレスのゾーンを作成する」を参照してください。
音声によるMFAを無効にするか、グループごとの音声によるMFAを制御する
Okta orgで音声によるMFAが必要でない場合は、非アクティブ化できます。
「音声通話認証(MFA)」を参照してください。
音声によるMFAが必要な場合は、IDの証明が完了し、アカウントが不正でないことが確認できるまで、新しいアカウントの登録を許可しないでください。
ユーザープロビジョニング方法を確認する
ユーザーアカウントの作成方法とプロビジョニング方法を再評価して、追加のセキュリティ対策で偽のアカウントの作成を防止できるかどうかを判断します。次のセキュリティメソッドを既存のアカウント作成・プロビジョニングメソッドに追加します。
- 既知の、または潜在的に不正なジオロケーションからのアカウント作成をブロックする。
- メールベースの検証を使用してユーザー登録を検証する。
- ID証明ツールと統合して、メールアドレスが偽のドメインからのものであるかどうかを判断する。
- カスタム登録ページにレート制限を実装して、詐欺行為者が偽のアカウントを大量に生成するのを防止する。
- orgで偽のユーザーを非アクティブ化し、詐欺行為者が偽のアカウントを使用して通話を行うのを防ぐ。
悪意のあるアクティビティを監視し、不正行為者を非アクティブ化する
次のクエリを使用して、System Logで不審な音声アクティビティを監視することができます。
event_type="system.voice.send_phone_verification_call"
stats count values(client_geographical_context_country)
as Country dc(target1_alternate_id)
as unique_count_phone_numbers
by actor_alternate_id, client_ip_address, client_user_agent_raw_user_agent
where count > 20
table actor_alternate_id, client_ip_address, client_user_agent_raw_user_agent, Country, unique_count_phone_numbers
これらのフィールドは、Splunk用のOkta Identity Cloudアドオンを使用する場合にも使用できます。
このクエリでsystem.voice.send_phone_verification_callフィールドをチェックし、ユーザー、IPアドレス、ユーザーエージェントの組み合わせの数が特定のしきい値よりも大きいかどうかを分析します(この例では、数が20よりも大きいかどうか)。検索の時間枠に応じてしきい値を設定できます。検索を1時間ごとに実行する場合は、その時間に行われる正常なアクティビティよりも高い値にしきい値を設定できます。
このサンプルクエリでは、次のフィールドを使用します。
フィールド | 説明 |
---|---|
event_type | ユーザーの操作に基づいてOktaが記録するイベント。イベントは通話による検証が開始されたことを示しています。 |
actor_alternate_id | ユーザーのメールアドレス。 |
client_ip_address |
ユーザーのIPアドレス。 |
client_user_agent_raw_user_agent | ユーザーエージェントを識別する文字列。 |
target1_alternate_id | 確認用電話の送信先となる携帯電話の番号。 |
client_geographical_context_country | ユーザーのIPアドレスのジオロケーション。 |
クエリによって返された出力に基づいて、org内の悪意のあるユーザーや偽のユーザーを特定し、削除できます。
サポートに連絡して許可された国のリストを入手する
顧客にサービスを提供している国の具体的なリストを信頼する場合は、他のすべての国に対して音声通話によるMFAをブロックしてください。また、orgのレート制限を変更することもできます。
通話詐欺攻撃や偽のアカウントが増加している場合は、音声およびSMSによる登録のエンドポイントに厳格なレート制限を作成し、orgで作成される新規アカウントの頻度を減らすことができます。
アカウントの新規作成に対するID証明ソリューションとの統合
ドキュメントベースまたは知識ベースによる証明を通じてユーザーの自己検証を可能にし、IDの信頼性を高め、許可された個人のアクセスを承認します。詳細については、「ID証明」を参照してください。