アメリカの通信会社は電話スパムと競合する

米国では、加入者認証技術である SHAKEN / STIR プロトコルが勢いを増しています。 その動作原理と潜在的な実装上の困難について話しましょう。

/フリッカー/ マークフィッシャー / のCC BY-SA

通話の問題

消費者が米国連邦取引委員会に苦情を申し立てる最も一般的な理由は、一方的なロボコールです。 2016 年に組織は XNUMX万ヒットを記録した、XNUMX年後、この数字はXNUMX万を超えました。

こうしたスパム電話は人々の時間を奪うだけではありません。 自動電話サービスは金銭を脅し取るために使用されます。 YouMail によると、昨年 40 月には、XNUMX 億件のロボ通話のうち XNUMX% が 詐欺師によって犯された。 2018年の夏、ニューヨーカーは当局に代わって電話をかけ金を脅し取った犯罪者への送金で約XNUMX万ドルを失った。

この問題は米国連邦通信委員会 (FCC) の注意を引きました。 団体の代表者 声明を発表した、これにより、電気通信会社は電話スパムに対抗するソリューションを実装する必要がありました。 この解決策はSHAKEN/STIRプロトコルでした。 XNUMX月には合同テストを実施 開催 AT&T とコムキャスト。

SHAKEN/STIR プロトコルの仕組み

通信事業者は、発信者の検証を可能にするデジタル証明書 (公開キー暗号化に基づく) を使用します。

検証手順は以下のように進みます。 まず、電話をかけてきた人のオペレーターがリクエストを受け取ります。 SIP INVITE で接続を確立します。 プロバイダーの認証サービスは、通話に関する情報 (場所、組織、発信者のデバイスの詳細) をチェックします。 チェックの結果に基づいて、通話は XNUMX つのカテゴリのいずれかに割り当てられます。A - 発信者に関するすべての情報がわかっている、B - 組織と場所がわかっている、C - 加入者の地理的位置のみがわかっている。

その後、オペレータはタイムスタンプ、通話カテゴリ、電子証明書へのリンクを含むメッセージを INVITE リクエストのヘッダーに追加します。 以下はそのようなメッセージの例です GitHub リポジトリから アメリカの通信会社の一つ:

{
	"alg": "ES256",
        "ppt": "shaken",
        "typ": "passport",
        "x5u": "https://cert-auth.poc.sys.net/example.cer"
}

{
        "attest": "A",
        "dest": {
          "tn": [
            "1215345567"
          ]
        },
        "iat": 1504282247,
        "orig": {
          "tn": "12154567894"
        },
        "origid": "1db966a6-8f30-11e7-bc77-fa163e70349d"
}

さらに、要求は着信加入者のプロバイダーに送信されます。 XNUMX 番目のオペレーターは、公開キーを使用してメッセージを復号化し、その内容を SIP INVITE と比較して、証明書の信頼性を検証します。 その後初めて、加入者間で接続が確立され、「受信」側は誰が電話をかけてきたのかについての通知を受け取ります。

検証プロセス全体は図で表すことができます。

専門家によると、発信者の確認 かかります 100ミリ秒以内。

意見

Как 注目される USTelecom 協会では、SHAKEN/STIR により、受信する電話をより細かく制御できるようになり、電話に出るかどうかの決定が容易になります。

私たちのブログを読んでください:

• ルーターを介したボットネット「スパム」: 知っておくべきこと
• DDOS と 5G: 太い「パイプ」 - さらなる問題

しかし、業界では、このプロトコルは「特効薬」にはならないという意見もあります。 専門家らは、詐欺師は単純に回避策を使うだろうと述べている。 スパム送信者は、組織名で通信事業者のネットワークに「ダミー」PBX を登録し、すべての通話をそこ経由で行うことができます。 PBXがブロックされた場合でも、簡単に再登録することが可能です。

上の によると 通信会社の代表者である場合、証明書を使用して加入者を単純に確認するだけでは十分ではありません。 詐欺師やスパマーを阻止するには、ISP がそのような通話を自動的にブロックできるようにする必要があります。 しかしそのためには、通信委員会はこのプロセスを規制する一連の新しい規則を策定する必要がある。 そしてFCCは近い将来、この問題に対処することができるだろう。

今年の初めから国会議員たちは、 検討しています 国民をロボコールから守り、SHAKEN/STIR基準の実施を監視する仕組みを開発することを委員会に義務付ける新たな法案。

/フリッカー/ ジャック・セム / CC BY

注意すべきは、SHAKEN/STIR 実装しました T-Mobile では - 一部のスマートフォン モデルが対象であり、サポートされるデバイスの範囲を拡大する予定です - および ベライゾン - オペレーターの顧客は、不審な番号からの電話について警告する特別なアプリケーションをダウンロードできます。 米国の他の通信事業者もまだこの技術をテスト中である。 2019年末までにテストが完了する予定だ。

ハブレに関するブログで他に読むべきこと:

• ネット中立性をめぐる戦いは逆転のチャンスだ
• 状況: 日本はネットワークからのコンテンツのダウンロードを制限する可能性があります - 私たちは理解し、話し合っています
• PCIe 5.0 に基づく新しい規格は CPU と GPU を「リンク」します - それについてわかっていること

出所： habr.com