はじめに

Robocallと呼ばれる自動電話による通知は、日本ではあまり主流ではないですが、アメリカでは多く利用されています。クレジットカードの不正利用の確認であったり、病院予約の確認等、様々な場面で使われています。

一方で、自動電話の仕組みにのっかって詐欺を働こうとするソーシャルエンジニアリングが流行っています。

本稿では、世の中で起きている実際の事件を紹介するとともに、アメリカではどのような対策が進んでいるかご紹介したいと思います。

Appleを騙った詐欺の事例

Apple Phone Phishing Scams Getting Better — Krebs on Securityで紹介されている例を挙げたいと思います。この例では、iPhoneの仕様とあいまって非常に巧妙なものとなっています。

1.ユーザへAppleからと思われる自動電話がかかってくる。（複数回同一の発信元から電話をかかってくる）

2.ユーザが電話に応答したところ自動音声で、「Apple IDを管理する複数のサーバが侵害された。指定された電話番号に電話してください」という内容が流れる。

3. 指定された番号にかけると、「Appleのカスタマーサポートです。待ち時間は、XXです。」といった音声が流れ、最終的にサポートとつながり、情報をとられる。

以下が実際にかかってきた電話の履歴画面ですが、Appleの番号でかかってきているかのように表示されます。

発信元の偽装はなぜできる

上記の例では、攻撃者はAppleの番号を偽装していますが、これはなぜ可能なのでしょうか？

これは、電話事業者間の電話の取次ぎの仕組みに由来します。ある電話事業者Aの番号から、電話事業者Bの番号へ電話を発信する際、AとBで接続するところで発信元の番号を指定して、電話の発信を行います。このため、発信者番号指定サービスなども存在している。日本の携帯電話事業者は、海外からの発信について厳密にチェックするようになり偽装は難しくなったものの、IP電話や固定電話等からの接続など多岐にわたるため、厳密にチェックすることが厳しい状態にす。

アメリカでの対策状況

法的な対策

アメリカでは深刻な問題になっているため、州や連邦での法律が整備されてきています。

違法な発信元偽装を行った場合の罰金額の強化や電話事業者の監視プロセス（電話事業者が積極的に違法な自動音声をブロックすることを容認する法律）の整備などを目的にした法律で、ここ2,3年様々な州で導入が進んでいます。

Federal Communications Commisions（米国連邦通信委員会）は、下記に述べる技術的な対策を2019年中に実装するよう各電話会社に求め、各社それに応じている*1

技術的な対策（SHAKEN/STIR）

SHAKEN/STIRとは、Signature-based Handling of Asserted Information Using toKENs (SHAKEN) and the Secure Telephone Identity Revisited (STIR) standardsの略であり、電話事業者間で接続する際の発信元番号の検証方法について定めた基準です。

発信元番号は発信元の事業者によって署名され、接続先の事業者によってその署名を検証することで、発信元番号の偽装がないか検証することが可能となっています。検証がうまく通らない場合は、発信を拒否し、受電側に発信しないようにする仕組みです。

まとめ

対策は進んでいますが、攻撃する側と守る側は常にいたちごっこです。新たな偽装方法で、技術的な対策も回避するケースもでてくるのではないかと思います。

個人レベルで出来ることは少ないですが、企業のサポートはユーザからリクエストしない限りは電話をかけてくることは通常ないため、疑ってかかるべきです。また、こういった詐欺が行われていることを知識として持っているだけで、大きな対策になりますので、周囲の友人・知人にも共有いただければと思います。