https://a.storyblok.com/f/270183/1368x665/f02fff93bf/fraud-protection-solution_aws.png

AWS MarketplaceにおけるVonage不正防止ソリューションの発表

最終更新日 May 9, 2024
#network-apis
#2fa

所要時間:1 分

はじめに

詐欺攻撃は増加の一途をたどっており、その手口は巧妙さを増しています。このような攻撃は企業に金銭的な損害を与え、ブランドや評判に深刻な影響を与えます。より多くのサービスや取引がオンラインで拡大する中、企業はユーザーが悪意のあるボットや詐欺師ではなく、善意の人間であることを確認するツールを必要としています。

Vonageは、詐欺対策を容易にするため、AWS Marketplaceで詐欺対策ソリューションをリリースしました。 不正防止ソリューションをAWS Marketplaceでリリースした。.AWSの顧客は、Vonageが提供する強力な詐欺防止APIにアクセスしながら、AWSクラウドの請求の一部としてこのソリューションに加入し、使用することができます。

詐欺防止ソリューションには、オムニチャネル2FAツール、グローバル番号と「SIMスワップ」チェック、通信詐欺の監視、警告、ブロックに関する使いやすいAPIを提供するVonageのさまざまな機能が含まれており、高度な詐欺防止とフィードバックのためにAmazon RekognitionとジェネレーティブAI機能を使用して拡張することができます。

Vonage Fraud Protection Solutionとは何ですか?

Vonageの詐欺防止ソリューションは、既存のVonage APIと、Vonageがネットワーク・パートナーと共同で展開している新世代のネットワークAPIで構成されています。これには 番号 Insight APIは、ネットワークやポーティング情報を含むユーザーの電話番号に関する詳細を提供し、SIMスワップステータスとFraud Scoreの両方をチェックする機能を含んでいます。SIMスワップ・ステータスは、電話番号に割り当てられたSIMカードが最近新しいデバイスにインストールされたかどうかを知ることができます。不正スコアは、番号の履歴に関する指標に基づいています。例えば、以前にSPAMの音声通話やSMSを送信したと報告されたことがあるかどうか?

Vonageの Verify APIはあらかじめパッケージ化された二要素認証APIで、以下のような複数のチャネルで認証コードを送信することができます。 サイレント認証を含む複数のチャネルに認証コードを送信することができます。Vonage Verify には、選択したチャネルが利用できない場合の自動フェイルオーバー機能があります。例えば、サイレント認証が選択されているが、ユーザーが非対応の携帯電話会社でローミングしている場合、SMS、WhatsApp、Voiceにフォールバックし、二要素認証のPINを顧客に確実に届けることができます。

また フラウド・ディフェンダー・ツールリアルタイムモニタリング、アラート、ブロックルールを実装し、使用している音声およびメッセージング製品の疑わしい活動を阻止するのに役立ちます。また、以下のような他のAWSツールからのフィードバックも利用できます。 Amazon Bedrockのような他のAWSツールからのフィードバックと合わせて使用することもできます。

すでにAWSを利用している場合は、次のようなAWS製品も利用できます。 Amazon Rekognitionのような追加のAWS製品を利用することもできる。デバイスがユーザーのものであることを確認できるだけでなく、バイオメトリクス情報を照合して、ユーザーが本人であることを確認できる。

これらはすべて、ウェブアプリケーション、モバイルアプリケーション、または他の何であれ、あなたのアプリケーションに直接これらのツールを統合するのに役立つ優れた開発者向けドキュメントに支えられています。Videoage のお客様であれば、コミュニケーション API の完全なスイートにアクセスすることができ、どのような製品を開発する場合でも、メッセージ、音声、ビデオを簡単に追加することができます。

仕組み

Vonage Fraud Protectionソリューションは、開発者がサーバサイド・アプリケーションまたはクライアントサイド・モバイル・アプリケーションやサイトに使用し実装できるAPIスイートです。幅広いカバレッジを提供するためにすべてのレイヤーを使用することをお勧めしますが、開発者は状況に応じてどの詐欺防止ツールが最も理にかなっているかを選択することができます。

Fraud Protection WorkflowFraud Protection Workflow

  • を使用してリアルタイムでナンバーをチェックし、ブロックすることができます。 VonageのFraud Defenderツール。

  • の履歴に基づいて番号の正当性を評価します。 Vonage詐欺スコアAPI.

  • 個人情報の盗難の可能性を Vonage SIMスワップAPI.

  • 正当なリクエストがユーザーのデバイスから来ていることを、以下の方法で確認できます。 Vonageサイレント認証VerifyAPIを利用しています。

  • 以下のようなセキュリティ機能を追加する Amazon Rekognitionや音声生体認証のようなセキュリティ機能も追加できます。 Amazon Connect Voice ID.

  • 過去のデータでフィードバックループを作る Amazon BedrockおよびVonage Fraud Enforcer APIを使用してフィードバック・ループを作成します。

Vonage CPaaS API

2016年以来、Vonageは、2010年からCPaaSサービスを提供していたNexmoの買収を通じて、CPaaS(Communication Platform as a Service)分野のリーダーとなっている。この間、VonageはCPaaSの提供を基本的なSMSやVoiceチャネルから、複数のオーバー・ザ・トップ・サービス、「顧客を知る」サービス、多要素認証などへと拡大してきた。

今日、VonageはFraud Defenderツールを提供しています。このツールは、着信する音声やSMSメッセージを自動的にブロックするルールを設定するために使用できるだけでなく、サーバー側のアプリケーションがこれらのブロックルールを直接チェックできるように拡張することもできます。ユーザーがログインまたはサインアップすると、Fraud Defenderのルールをチェックして、番号、プレフィックス、または地域全体に対してハードブロックがすでに設定されているかどうかを確認できます:

const resp = await fetch('https://api.nexmo.com/v0.1/fraud-defender/check', {
    body: JSON.stringify({
        from: data.phone,
        to: data.to,
        product: 'voice',
    }),
    headers: {
        'Authorization': await this.vonage.credentials.createBasicHeader(),
         'Content-Type': 'application/json'
    },
    method: 'POST'
})
    .then(async (resp) => await resp.json())

これにより、すでにブロックしているユーザーや、サービスを提供していないリージョンをVerifyしようとしてリソースを浪費する必要がなくなるため、迅速なショートサーキットが提供される。

新規のお客様が不正検出の第一段階を通過した場合、その電話番号に関連する不正スコアを取得することができます。Vonageはさまざまなリソースと過去のデータを使用して、番号が以前に詐欺に使用されたかどうか、または詐欺行為の兆候を示しているかどうかを判断します。

// Using the Vonage Node SDK
const client = new NumberInsightV2(this.vonage.credentials);

const resp = await client.checkForFraud({
    phone: data.phone,
    type: 'phone',
    insights: [
        Insight.FRAUD_SCORE
    ]
});

これは、その Numbers が過去に詐欺に使われた可能性を数値で返します。これは、より厳格な多要素認証やAccountに関する内部アラートなど、アプリケーションが取るべき追加アクションを決定するための他のビジネスルールで使用するのに最適な指標です。

VonageネットワークAPI経由のGSMAオープンゲートウェイ

2024年2月、 Vonageは、Vonage Network APIを公開すると発表しました。.

これらのAPIは、開発者の多様なエコシステムに、セキュリティAPI、番号認証、SIMスワップ機能など、CSPネットワークの特定の特性を活用する力を与えます。これらのネットワーク機能を公開し、集約することで、開発者は革新的なユースケースを作成し、ビジネスの価値を高め、イノベーションを促進することができます。当社のネットワークAPIは CAMARA標準当社のネットワークAPIはCAMARA標準に準拠しており、シームレスな統合と開発のための使い慣れたインターフェースを開発者に提供します。

Vonageは、CAMARAサービスを実装する際の開発者の作業負荷を簡素化し、複数のCSPを同時にブリッジするプロセスを合理化します。Vonageを使えば、Deutsche Telekom、O2 Telefónica、Vodafone、Orange、Telefónicaなど、ドイツとスペインにまたがる大手プロバイダと簡単にインターフェイスできます。開発者は、CSPごとに個別のシステムを構築する必要がなくなり、すべてのCSPでシームレスに動作する統一システムを構築できます。さらに、新しいCSPがオンラインになれば、プラットフォームの範囲と機能はさらに拡大する。

CPaaSをネットワークAPIも提供するネットワーク・プラットフォームに進化させることで、サービス・プロバイダーはネットワーク投資を収益化する機会を活用し、何百万もの開発者や企業が高度なアプリケーションやサービスを簡単に作成できるようになります。VonageのNumbers Verification APIは、モバイルネットワークを活用したモバイルデバイスのシームレスな認証を容易にし、VonageのSilent Authenticationは、認証失敗時の追加フェイルオーバーメカニズムを提供します。Vonageは、この補足機能を当社のプラットフォームへの統合アドオン価値として提供しています。このソリューションは、エンドユーザーの認証体験を向上させます。さらに、CAMARAのNumbers Verification APIは、モバイル・ネットワークを介したモバイル・デバイスのシームレスな認証も可能にします。

開発者がVonageのネットワークAPIの力を利用して、SIMスワップ攻撃や詐欺から保護するシナリオを想像してみてください。SIMスワップとNumber Insight Network APIを利用することで、開発者はID窃盗の悪名高い形態であるSIMスワップ攻撃の兆候をプロアクティブにチェックすることができます。この悪質な手口には、一般的にソーシャル・エンジニアリングが関与しており、詐欺師が携帯電話事業者を操作して、被害者のアカウントを詐欺師の管理下にあるSIMカードに移行させます。

当社のNumber Insight v2 APIを使用すると、SIMが過去7日以内にアカウント用に発行されたかどうかを評価することができます。もしそうであれば、これはSIMスワップ攻撃の兆候である可能性があるが、ユーザーが新しいデバイスを購入し、合法的にSIMをスワップした可能性を排除するものではない。

// Using the Vonage Node SDK
const client = new NumberInsightV2(this.vonage.credentials);

const resp = await client.checkForFraud({
    phone: data.phone,
    type: 'phone',
    insights: [
        Insight.SIM_SWAP
    ]
});

VonageはVerify APIを通じてCAMARA Number Verification APIを公開しました。ユーザがログインしているデバイスが、モバイルキャリアに登録されているデバイスであることを確認することができます。モバイルアプリケーションを使用している場合、セルラーデータ接続を介してデバイスにネットワーク接続を強制し、既知の登録デバイスとSIMを照合することができます。

// Using the Silent Auth Android SDK
import com.vonage.silentauth.VGSilentAuthClient

// instantiate the sdk during app startup
VGSilentAuthClient.initializeSdk(this.applicationContext)
  
val resp: JSONObject = GSilentAuthClient.getInstance().openWithDataCellular(URL(endpoint), false)
 if (resp.optString("error") != "") {
    // error
} else {
    val status = resp.optInt("http_status")
    if (status == 200) {
        // 200 OK
    } else {
        // error
    }
}

CAMARA Number VerificationとVerify APIは、複数の認証要素によってセキュリティのレイヤーを追加するのに役立ちます。

Amazon Bedrockを使用したAI

顧客との対話から得られたデータはすべて保存され、将来の意思決定に使用することができる。この集合データは、新たなブロック・ルールの生成に役立てることができる。私たちは、このような決定を下すために必要な人間の労力を減らしたいので、ある対話が将来的にブロックする価値があるかどうかを決定するために、適切なプロンプトを持つAIモデルにそれらを与えることができる。

例えば、ユーザーログインの結果、以下のような情報が得られたとします:

{
    "date": "2024-02-01 11:15:22",
    "from": <customer number>,
    "to": <vonage virtual number>,
    "success": false,
    "results": {
        { stage: "enforcerDecision", status: 0 },
        { stage: "simSwap", status: 0 },
        { stage: "mfa", status: -1, retryAttempts: 3 },
    }
}

これだけでは、追加のルールは発動されないかもしれない。ユーザが MFA PIN の入力に失敗したからといって、必ずしも不正が行われているとは限らない。上記と後の結果を組み合わせると

{
    "date": "2024-02-02 15:10:43",
    "from": <customer number>,
    "to": <vonage virtual number>,
    "success": false,
    "results": {
        { stage: "enforcerDecision", status: 0 },
        { stage: "simSwap", status: -1, message: "SIM recently swapped" },
        { stage: "mfa", status: 0, retryAttempts: 0 },
    }
}

これはSIMスワップ攻撃の結果なのでしょうか?前日はログインできなかったが、SIMを交換したらすぐにログインできるようになった。前日、攻撃者はPINがSMSで送信されたことを知らなかったが、ソーシャル・エンジニアリングの末、SIMを自分のデバイスにスワップさせることに成功し、ターゲットになりすましてログインできるようになった可能性が高い。

関連するルールを組み合わせて Amazon Bedrockに入力できる関連ルールを組み合わせて、一連のイベントが新しいブロックルールを作成する価値があるかどうかをBedrockに尋ねるプロンプトを作成し、そのようなルールを作成するために必要なJSONを生成することができます。カスタマイズされたプロンプトの結果は、Fraud Defender Enforcer APIを使用して新しいルールを作成するために使用することができます。

すべてが1つのパッケージに包まれている

不正防止ソリューションはVonage APIsのスイートですが、開発者が Node.jsライブラリのような他のシステムで使用可能な出力を生成するだけでなく、使用したいルールを決定するためのインターフェイスを提供するために、開発者がNode jsライブラリとして使用できるようにしました。

const client = new fraudProtection({
    apiKey: '<vonage api key>',
    apiSecret: '<vonage api secret>', 
    applicationId: '<vonage application ID>',
    privateKey: '<vonage private key>'
});
  
client.add(new FraudDefenderDecision());
client.add(new FraudScore({ maxScore: 60 }));
client.add(new SimSwap());
client.add(new TFA({ sendPin: true, from: '18005556666' }));
  
const existingContext = req.session.context || {};
const data = req.session.data || {phone: '15556661234', to: '18005556666'};
  
const context = await client.run(data, existingContext);

このライブラリを使用することで、ユーザーは不正防止ソリューションのどの部分を使用したいか、順序、および合格と不合格の構成に関するルールを定義することができます。また、情報を更新してユーザーを複数回実行することもできます。例えば、PINを含む二要素認証のステップを要求することができます。最初の試行では、PINが送信されていないため、ユーザーは失敗しますが、後でPINを追加し、失敗したステップを再実行することができます。

このライブラリの使用に関する完全な情報は GitHub.

スタート

を始めたい場合 Vonageの詐欺防止ソリューションを始めたいのであれば、私たちの マーケットプレイスをご覧いただくか、AWSセールスまでお問い合わせください。 awssales@vonage.com.私たちの営業チームは、お客様のニーズに合ったパッケージを作成し、AWSを通じて課金を開始するための設定をお手伝いします。

当初、このソリューションは一部の市場でしか利用できませんので、詳細についてはAWS営業部門にお問い合わせください。

まとめ

今後数ヶ月のうちに、この製品に新しい機能が追加される予定です。その間 製品ページおよび ブログをご覧ください。

私たちの VonageコミュニティSlackまたは X(旧Twitter.

シェア:

https://a.storyblok.com/f/270183/384x384/3bc39cbd62/christankersley.png
Chris Tankersleyデベロッパー・リレーションズ・ツーリング・マネージャー

クリスはデベロッパー・リレーションズ・ツーリング・マネージャーで、お気に入りのツールを開発するチームを率いています。彼は15年以上、クライアントワークからビッグデータ、大規模システムに至るまで、様々な言語と種類のプロジェクトでプログラミングをしてきました。オハイオ州に住み、家族と過ごしたり、ビデオゲームやTTRPGゲームをしたりしている。