テレフォニー詐欺について
今日のデジタル環境では、人々の日常生活に通信サービスがシームレスに統合されています。 しかし、技術的な進歩は、国際レベニュー シェア詐欺 (IRSF) のような不正行為のリスクをもたらし、結果として財務上の影響やサービスの中断を引き起こします。 IRSF では、未承認のアクターが通信課金システムを悪用します。 テレフォニー トラフィックを流用し、"トラフィック ポンピング"という手法を使用して利益を生み出します。 トラフィック ポンピングは多要素認証システムを標的とし、料金の増加、サービスの信頼性の低下、システム エラーを引き起こします。
このリスクに対処するために IRSF について十分に理解することは、リージョン単位の制限や電話番号の検証などの予防措置を実装するうえで重要です。また、Microsoft のシステムは、中断を最小限に抑え、Microsoft のビジネス、ユーザー、お客様のビジネスを保護することを目的としています。Microsoft はお客様のセキュリティを優先しており、そのためにプロアクティブな措置を講じることがあります。
Microsoft のテレフォニー詐欺対策
詐欺攻撃が発生した場合、Microsoft はお客様を保護し、詐欺を試みる悪意のあるアクターから慎重に防御するために、プロアクティブな修復に取り組むことがあります。 テレフォニー詐欺は非常に動的な領域であり、数秒でも大きな財務上の影響をもたらすおそれがあります。 この影響を抑えるために、特定のリージョン、電話、またはユーザーからの過剰な認証要求を検出した場合、一時的なスロットリングをプロアクティブに行うことがあります。 これらのスロットルは通常、数時間から数日後に解除されます。
お客様側で可能なテレフォニー詐欺対策
B2C のお客様は、テレフォニー詐欺対策として次の措置を講じると、サインイン、MFA、パスワードのリセット、ユーザー名を忘れた場合などの認証アクティビティのセキュリティを強化できます。
- 推奨バージョンのユーザー フローを使用する
- 組織と関連性のないリージョン コードを削除する
- CAPTCHA を使用して、人間のユーザーと自動化されたボットを区別する
- 通信の使用状況をレビューして、ユーザーの想定動作と一致していることを確認する
詳細については、「B2C での電話ベースの MFA のセキュリティ保護」を参照してください。
また、オプトインを必要とするリージョンからトラフィックを要求しているため、スロットルが発生することがあります。 詳細については、「MFA テレフォニー検証をオプトインする必要があるリージョン」を参照してください。