SMSトラフィックポンピング詐欺の脅威とその対策

SMSトラフィックポンピング詐欺とは？
詐欺の仕組みと被害の広がり？
対策と防御方法
成功事例とまとめ

SMSトラフィックポンピング詐欺とは？

SMSトラフィックポンピング詐欺は、不正者がプレミアム価格が付随した電話番号へ大量のSMS認証リクエストを発生させることで、SMS送信者（送信電話番号）に対して不正な費用を請求する手口です。この詐欺は、主に国際的なSMSサービスを利用する企業を標的にし、国際メッセージングのコストを不正に引き上げます。不正者は、企業が通常のビジネス取引やユーザー認証の一環として送信するSMSメッセージを利用し、無効な番号やボットによる大量リクエストを通じて詐欺を行います。

詐欺の仕組み（例）

1受信100円のプレミアム価格を設定した電話番号（090-A）を不正者が準備
会員登録時などにSMS認証が導入されているサービスを使い、（090-A）へ大量にSMS送信を行う
100円×SMS送信数　コストをサービス提供企業が負担
プレミアム価格の発生に加えて、企業はSMSを大量送信されることで無駄なSMS送信（認証）費用が発生します。

対策方法

この詐欺に対抗するためには、以下の対策が効果的です:

フィルタリングとモニタリング: SMSトラフィックを綿密に監視し、不審なパターンや異常なトラフィックを早期に検出するシステムを導入することが重要です。ですが、時間あたりのトラフィック調整を不正者が行うことにより回避可能なこととパターンが多岐にわたることから運用工数が増加する懸念があります。
CAPTCHAの導入: ボットによる不正なリクエストを防ぐため、認証フローにCAPTCHAを導入することで、不正なトラフィックの発生を抑えることができます。ボットの判定はシステムで自動で行うため、一部突破事例もあること、また人力によるリクエストは防止できない点には注意が必要です。
電話発信型認証への切替え: 認証コードをSMSで送信するため不正者から狙われるリスクが高まるため、電話発信型の認証に切り替えることで不正者はサイトの認証リクエストを行うメリットがなくなりリスクも低減します。またユーザが電話を受信する方式の認証もありますが、SMSポンピング詐欺と同じような仕組みで詐欺を行うトラフィックポンピングが存在しますので電話発信型の認証が最適だといえます。

成功事例

フィルタリングモニタリング、CAPTCHAでも完全に防止できなかったSMSトラフィックポンピング詐欺ですが、電話発信型の認証に切り替えることによりプレミアム価格、無駄な認証費用の発生を抑制できました。また、下記のような副次効果も見込めます。

コスト: オスティアリーズ社が提供する「着信認証」は認証数に応じて単価10～5円以下で利用可能なため大幅な認証コスト削減を実現しました。
フィッシング: SMSはフィッシングが多く、認証コードをSMSで送信することによりユーザが正規、詐欺の見分けがつかず被害を助長する原因になっていました。「着信認証」は認証コードを送信しないためフィッシング被害も抑制できました。
認証成功率の向上: SMSは一定数届かない事象が発生するため、認証離脱の原因にもなっていました。認証コードの受信が必要ない電話発信型の認証により成功率が向上しました。