電話を使用した詐欺の防止または軽減
国際レベニューシェア詐欺(IRSF)(通話詐欺と呼ばれることが多い)とは、通信製品またはサービスに対する支払いを行う意思がなくその製品またはサービスを使用することを指します。この種の詐欺で最も多く見られるのは、電話システムを使用して高額なルートで大量の国際電話をかける攻撃者です。通話詐欺は非常にコストが高く、業務に支障をきたす可能性があるため、このセクションのトピックでは、通話詐欺を減らすための推奨事項とベストプラクティスについて説明します。
通話詐欺攻撃を実行する人は、プレミアムレートの電話番号に電話をかけ、これらの通話から得られる収益を受け取ります。不正な通話行為に関連する費用は通信プロバイダーから顧客に請求されるため、攻撃を成功させる可能性を防止または最小限に抑えるための措置を講じることが重要です。
通話詐欺攻撃にはさまざまな形態がありますが、最も一般的なのは、ラトビア、ソマリア、ガンビアなど、通話レートが高い国で行われるテレフォニーサービスです。Organizationがこうした通話レートの高い国の顧客またはサプライヤーと取引を行う場合は、通話詐欺攻撃に関するリスクとコスト、および攻撃が正当なユーザーからのトラフィックにどのような影響を与えるかを認識しておく必要があります。
はじめに
Organizationが次のいずれかに該当する場合は、この推奨事項とベストプラクティスを確認する必要があります。
-
多要素認証に音声OTPまたはSMS OTPを使用している。
-
いずれかのOkta orgで、OktaがホストするウィジェットまたはカスタムのSign-In Widgetを使用している。
-
テレフォニーのユースケースに、Okta認証APIまたは要素APIを使用している。
-
カスタムユーザープロビジョニングソリューションを有効にしている。
通話詐欺に対する自分のOkta organizationの脆弱性
自分の所属するOkta organizationが特定の活動を許可している場合は、通話詐欺攻撃に対して脆弱である可能性があります。たとえば、次の条件を許可するように認証を設定している場合、Organizationは通話詐欺攻撃に対して脆弱である可能性があります。
-
ユーザーが強力なID証明を行うことなく自己登録できるようにしている。これは、カスタムユーザープロビジョニングソリューションが有効になっている場合に当てはまる可能性があります。
-
登録またはサインインアクティビティの認証要素として、音声またはSMSを許可している。
Organizationがこれらの機能のいずれかをサポートしている場合、不正を企む人がアカウントの作成やサインインアクティビティを悪用し、偽の電話番号を提供して高額な国への通話によるMFAを開始する可能性があります。
Oktaでは、音声によるMFAに対し常にバックエンドのセキュリティ対策を実施していることに注意してください。ただし、Organizationに柔軟性を持たせるため、Oktaではアカウント作成に特定のビジネスロジックを課していません。したがって、OktaではデフォルトでIDの証明や悪意のある可能性のあるユーザーの非アクティブ化は強制していません。
Oktaでは、通話詐欺攻撃の減少に役立つツールを継続的に改良していますが、Organizationを保護するには、この記事の推奨事項に従う必要があります。
通話詐欺攻撃からOrganizationを保護する必要がある理由
通話詐欺攻撃からOrganizationを保護するために尽力すべき実際的な理由は数多くあります。たとえば、通話詐欺攻撃によって自社のサービスに偽のアカウントが作成されます。偽のアカウントが急増すると、次のような結果を招く恐れがあります。
-
偽のアカウントを特定して削除するために、より高い運用コストが必要になる。
-
質の低いリード、サイトに二度とアクセスしないユーザー、サービスへの関与の低下、新規ユーザーの獲得にかかるコストの増加など、ユーザーベースの価値とユーザー情報の信頼性が低下する。
-
不正な販売行為が発生する(該当する場合)。
-
送信者番号がエンゲージメントの低い通信を生成していると識別された場合に、プロバイダーによって正当なトラフィックがブロックされる。
通話詐欺攻撃は、次のような悪影響をもたらす可能性があります。
-
大量の有料トラフィックが発生し、正当なユーザーへの音声およびSMSメッセージの配信が遅延または妨げられる可能性がある。
-
プロバイダーが特定の国からの番号をブロックし、正当なアカウントへのSMSおよび音声の配信がブロックされる可能性がある。
-
購入済み契約のaMAU数を超える使用およびテレフォニーAPIの使用にかかるコストの増加。
Oktaがお客様のために通話詐欺を減少させる方法
Oktaでは、通話詐欺の影響を軽減させるべく、以下の対策を実施しています。
-
SMSおよび音声トラフィックのサービスに対する上限設定
Okta organizationがサービスの上限に達すると、orgのすべての音声およびSMSトラフィックに対するMFAが24時間ブロックされます。この場合、要求を行った受信者はHTTP 429エラーメッセージを受信します。
-
ユーザーごとの音声およびSMSのレート制限
1人のユーザーがorgに不利益をもたらす大量の不正通話を送信しないように、ユーザーごとに音声およびSMSの登録レート制限が適用されます。
-
アクティブな攻撃中のアラート
1つ以上のOkta organizationでアクティブな通話詐欺攻撃が発生した場合は、Oktaサポートチームから通知されます。
通話詐欺を減らすために実行できる手順
通話詐欺攻撃を減らすために実行できる手順がいくつかあります。通話詐欺行為からOrganizationを保護するために、これらの手順を確認して実施し、攻撃による影響を軽減することをお勧めします。
ネットワークゾーンを使用して不正なトラフィックの事前認証をブロックする
Okta orgにアクセスを試行している既知の悪意のあるIPアドレスを認識した場合は、ネットワークゾーンを使用してトラフィックの事前認証をブロックできます。認証前にトラフィックをブロックすると、ネットワークゾーンポリシーで特定されたIPまたはネットワークから攻撃が開始された場合に、攻撃者がOktaのサインインページおよび登録ページにアクセスできなくなります。
アクセスの事前認証のブロックに関する詳細については、以下を参照してください。
音声によるMFAを無効にするか、グループごとの音声によるMFAを制御する
Okta orgのすべてのユーザーに対して音声によるMFAを有効にする必要がない場合は、Okta Admin Consoleを使用して非アクティブ化できます。認証の要素から音声を削除する具体的な手順は、Okta ClassicとOkta Identity Engineのどちらを使用しているかによって異なります。
Okta管理者として多要素認証ポリシーからVoiceを削除する方法の詳細については、 「通話認証(MFA)」を参照してください。
音声によるMFAが必要な場合は、何らかの形でIDの証明が完了し、アカウントが不正でないことが確認できるまで、新しいアカウントの登録を許可しないでください。
Okta organizationで音声によるMFAが不要な場合は、Oktaサポートに連絡してこの機能を完全に無効にすることができます。
ユーザープロビジョニング方法を確認する
該当する場合、Oktaでは、ユーザーアカウントの作成方法とプロビジョニング方法を再評価して、追加のセキュリティ対策で偽のアカウントの作成を防止できるかどうかを判断することをお勧めします。たとえば、次のセキュリティ メソッドを既存のアカウント作成・プロビジョニングメソッドに追加することを検討してください。
-
既知の、または潜在的に不正なジオロケーションからのアカウント作成をブロックする
-
メールベースの検証を使用してユーザー登録を検証する
-
ID証明ツールと統合して、メールアドレスが偽のドメインからのものである可能性があるかどうかを判断する
-
カスタム登録ページにレート制限を実装して、詐欺行為者が偽のアカウントを大量に生成するのを防止する
-
orgで偽のユーザーを非アクティブ化し、詐欺行為者が偽のアカウントを使用して通話を行うのを防ぐ
悪意のあるアクティビティを監視し、不正行為者を非アクティブ化する
次のクエリは、Okta System Logで不審な音声アクティビティを監視する方法を示しています。
event_type="system.voice.send_phone_verification_call"
stats count values(client_geographical_context_country)
as Country dc(target1_alternate_id)
as unique_count_phone_numbers
by actor_alternate_id, client_ip_address, client_user_agent_raw_user_agent
where count > 20
table actor_alternate_id, client_ip_address, client_user_agent_raw_user_agent, Country, unique_count_phone_numbers
これらのフィールドは、Splunk用のOkta Identity Cloudアドオンを使用する場合にも使用できます。
このクエリでsystem.voice.send_phone_verification_callフィールドをチェックし、ユーザー、IPアドレス、ユーザーエージェントの組み合わせの数が特定のしきい値よりも大きいかどうかを分析します(この例では、数が20よりも大きいかどうか)。検索の時間枠に応じてしきい値を設定できます。検索を1時間ごとに実行する場合は、その時間に行われる正常なアクティビティよりも高い値にしきい値を設定できます。
このサンプルクエリでは、次のフィールドを使用します。
フィールド | 説明 |
---|---|
event_type | ユーザーの操作に基づいてOktaが記録するイベント。この場合、イベントは通話による検証が開始されたことを示しています。 |
actor_alternate_id | ユーザーのメールアドレス。 |
client_ip_address |
ユーザーのIPアドレス。 |
client_user_agent_raw_user_agent | ユーザーエージェントを識別する文字列。 |
target1_alternate_id | 確認用電話の送信先となる携帯電話の番号。 |
client_geographical_context_country | ユーザーのIPアドレスのジオロケーション。 |
クエリによって返された出力に基づいて、org内の悪意のあるユーザーや偽のユーザーを特定し、削除できます。
Oktaサポートに連絡して許可された国のリストを入手する
顧客にサービスを提供している国の具体的なリストを信頼し、他のすべての国に対して通話によるMFAをブロックする場合は、Oktaサポートにお問い合わせください。Oktaサポートにより、音声によるMFAトラフィックを送信してはならないすべての国をブロックできます。
また、Oktaサポートに連絡して、Organizationのレート制限を変更することもできます。通話詐欺攻撃の増加や偽のユーザーアカウントの作成が増加している場合、Oktaサポートが協力して音声およびSMSによる登録のエンドポイントに厳格なレート制限を作成し、orgで作成できる新規アカウントの頻度を減らすことができます。
アカウントの新規作成に対するID証明ソリューションとの統合
ドキュメントベースまたは知識ベースによる証明を通じてユーザーの自己検証を可能にし、IDの信頼性を高め、許可された個人のアクセスを承認します。詳細については、「ID証明」を参照してください。
通話詐欺について他に質問がある場合は、Oktaサポートにお問い合わせください。