携帯電話に保存されている情報の幅広さと、ロックを解除するだけで実行できるアクティビティについて考えてみましょう。詐欺師は、あなたの電話番号と PIN を完全に制御できるため、通話、テキスト メッセージ、電子メールの送受信、暗号通貨の送受信、ワンタイム パスワード (OTP) で保護されている多数の追加アカウントへのアクセスが可能になります。これが、SIM スワッピング攻撃のリスクです。これは、サイバー犯罪者がユーザーの電話番号、連絡先、テキスト、PIN 番号を自分のデバイスに転送できる、ますます人気が高まっている詐欺です。FBIによると、報告された事例は SIMスワップは2021年から2022年にかけて500%増加しており、この驚くべき増加により、携帯電話会社が新しいSIMカードを登録する方法に対する監視が強化されています。このブログ投稿では、SIM スワッピングの仕組み、企業が SIM スワッピングに関連する損失を防ぐ方法、ID 検証によってモバイル オペレーターが新しい SIM カードを簡単かつ安全に登録できるようにする方法について説明します。
SIMスワッピングとは何ですか?
加入者識別モジュール (SIM) カードは、モバイル携帯電話デバイスがモバイル ネットワークに対してユーザーを識別および認証するためのポータブル キーとして使用する、小型のポータブル メモリ カードです。SIM カードを使用すると、ユーザーは電話をかけたり受けたり、テキスト メッセージを送信したり、ネットワーク上でモバイル データ サービスを使用したりできます。SIM カードが破損したり、デバイスを紛失したりした場合は、携帯電話会社に電話して電話番号を新しいデバイスに転送するようリクエストできます。携帯電話会社は通常、デバイスの PIN 番号や社会保障番号 (SSN) の最後の 4 桁などの知識ベースの質問で本人確認を行います。SIM スワッピング攻撃では、詐欺師は漏洩または盗難された社会保障番号とユーザーの個人データを使用してデバイスの所有者になりすまし、ユーザーのモバイル オペレータに SIM カードを攻撃者が所有するデバイスに転送するよう説得します。詐欺師はユーザーのデバイスを完全に制御できるため、OTP を傍受して多要素認証 (MFA) で保護されたアカウントにアクセスしたり、ユーザーの他のアカウントにアクセスするために使用できる情報を入手したりできます。この広範なアクセスにより、詐欺師は回復が困難な方法でユーザーの個人情報を盗むことができます。
SIMスワップからエンドユーザーを保護するための新しい規制
SIM スワッピング防止に関するメディアの注目の多くは、エンドユーザーが自分自身をどのように保護できるかに集中していますが、SIM スワッピングによって可能になるゲートウェイ詐欺は、ユーザーの機密情報を保護している銀行やその他の企業も危険にさらします。しかし、アカウントを保護する責任をユーザーに負わせると、ユーザーがベストプラクティスに従わなかった場合に詐欺による損失が発生する可能性があり、企業にとって大きなリスクとなります。さらに、モバイル ネットワーク プロバイダーがサービスの一環として顧客に金融サービスを提供し始めると、銀行やその他の金融機関に適用されるものと同じ KYC および AML 規制に準拠する必要があり、安全な口座開設には身元の証明が必要になります。結果として、 現在150か国以上でモバイルSIM登録に身分証明書の提示が求められている。 これには、物理的な SIM カードが届くのを待たずに、どこからでもプランをアクティブ化したり、ネットワークを切り替えたりできる柔軟性を顧客に提供するデジタル SIM である eSIM の登録が含まれます。eSIM の場合、これらの規制に準拠するために ID を検証することは、モバイル オペレーターにとって特別な課題となります。eSIM の主な利点の 1 つは、どこからでも新しい SIM カードを迅速かつ自動的にプロビジョニングできることです。顧客のIDの有効性をオンラインで迅速に検証するソリューションがなければ、顧客はeSIMの利便性を享受できず、企業は重要な競争上の優位性を失うことになる。特にeSIMが普及し、 新しい携帯電話では、物理的な SIM カード用のトレイが段階的に廃止され始めています。
本人確認がSIMスワップを防ぐ仕組み
SIM カードを新しいデバイスに移行することを要求するユーザーの身元を確認する従来の方法では、SIM スワップに対する保護が不十分である場合、企業やモバイル オペレーターは、ますます増加しているこの攻撃を防ぐためにどのような対策を講じることができるでしょうか。フォーブス誌が最近指摘したように、 答えは本人確認にあるかもしれない — 安全なオンボーディング、アカウント回復、個人情報盗難につながる可能性のある高リスクイベントへの対応を提供できるサービスです。Transmit Security Platformでは、 本人確認 は、ユーザーに 3 つの簡単な手順を完了するための手順を段階的に提供することで、このプロセスを簡素化します。
- 検証に必要な書類の収集
- モバイルデバイスで文書をスキャンする
- 顔を自撮りする
舞台裏では、さまざまな機能により、本人確認によって不正の兆候を迅速かつ徹底的にチェックできます。Transmit Security は、世界中のサポートされているドキュメントの大規模なデータベースを備えており、ドキュメントの形式、フィールド、セキュリティ機能に関する深い知識を活用して、ドキュメントの改ざんや偽造の兆候を検査します。次に、自撮り写真が検査され、書類の写真がユーザーの自撮り写真と一致しているかどうかが確認されるだけでなく、切り抜き、マスク、スクリーン プリントの使用など、なりすましの兆候も検出されます。このプロセスは物理 SIM と eSIM の両方で同じであり、モバイル オペレーターに KYC と AML にオンラインで準拠するためのソリューションを提供し、コンプライアンスやセキュリティ上のリスクを招くことなく顧客サービスを向上させることができます。本人確認は、ネイティブ統合のメリットも享受できます。 検出と対応 そして アイデンティティ決定、そして データ検証は、KYC のもう 1 つの重要な側面です。これらの追加のセキュリティ チェックにより、ボット アクティビティ、IP スプーフィング、その他のリスク シグナルに対するパッシブ チェックを通じて企業の保護が強化され、サードパーティ データベースによるバックグラウンド チェックが可能になり、最低年齢要件を満たしていないユーザーをブロックしたり、期限切れの ID を持つユーザーにチャレンジしたりするなどのカスタム ルールを簡単に実装できるようになります。
このプロセスは完全に自動化されており、企業向けに拡張できるため、手動で ID チェックを実行するコストと時間を節約できます。この技術は、モバイル オペレータが SIM 登録時にユーザの身元を確認するのに役立つだけでなく、最近デバイスを変更し、パスワードの変更、多額の引き出し、ローンの申し込みなど、ユーザ アカウントを空にしたり、ユーザ アカウントをロックアウトしたり、またはその両方を実行したりしているユーザを銀行やその他の企業が強化するのにも役立ちます。また、知識ベースの質問やモバイル PIN は簡単に忘れられる可能性があるため、このようなシナリオではエンド ユーザーにとってより優れたエクスペリエンスが提供される可能性もあります。変化する可能性のある回答や、時間の経過とともに失われる可能性のあるコードに頼ってユーザーのアカウントをロックするのではなく、ユーザーは攻撃者がアクセスできない身分証明書を簡単に作成できます。本人確認は世界中の幅広い文書をサポートしており、詐欺師が偽造または改ざんされた文書を使用したり、革新的な新技術で生体認証を回避したりすることを防ぐために、多数のセキュリティ機能がチェックされます。
Transmit セキュリティ プラットフォームでの本人確認
Transmit Security は、ID 検証、検出と対応、堅牢なユーザー管理、オーケストレーション、幅広い認証方法のためのネイティブに統合されたサービスの完全なスイートを提供する唯一の ID セキュリティ プラットフォームであり、企業は業界をリードする ID 検証サービスを実装できるだけでなく、ID セキュリティと管理を一元化して統合できます。本人確認の詳細については、サービスの Web ページをご覧いただくか、安全でスムーズなオンボーディングに関するこちらのブログ投稿をお読みください。
