JP6567181B2 - 課金詐欺に対する検出方法 - Google Patents

課金詐欺に対する検出方法 Download PDF

Info

Publication number
JP6567181B2
JP6567181B2 JP2018520491A JP2018520491A JP6567181B2 JP 6567181 B2 JP6567181 B2 JP 6567181B2 JP 2018520491 A JP2018520491 A JP 2018520491A JP 2018520491 A JP2018520491 A JP 2018520491A JP 6567181 B2 JP6567181 B2 JP 6567181B2
Authority
JP
Japan
Prior art keywords
address
request
subscriber
fraud prevention
account
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018520491A
Other languages
English (en)
Other versions
JP2018533303A (ja
Inventor
シルケ ホルトマンス
シルケ ホルトマンス
ゲラルト ゲルマー
ゲラルト ゲルマー
Original Assignee
ノキア ソリューションズ アンド ネットワークス オサケユキチュア
ノキア ソリューションズ アンド ネットワークス オサケユキチュア
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ノキア ソリューションズ アンド ネットワークス オサケユキチュア, ノキア ソリューションズ アンド ネットワークス オサケユキチュア filed Critical ノキア ソリューションズ アンド ネットワークス オサケユキチュア
Publication of JP2018533303A publication Critical patent/JP2018533303A/ja
Application granted granted Critical
Publication of JP6567181B2 publication Critical patent/JP6567181B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • H04L12/1403Architecture for metering, charging or billing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • H04L12/1453Methods or systems for payment or settlement of the charges for data transmission involving significant interaction with the data transmission network
    • H04L12/1457Methods or systems for payment or settlement of the charges for data transmission involving significant interaction with the data transmission network using an account
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • H04M15/44Augmented, consolidated or itemized billing statement or bill presentation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • H04M15/47Fraud detection or prevention means
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/24Accounting or billing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Description

本発明は、詐欺(fraud)検出に関連した装置、方法及びコンピュータプログラム製品に関する。より詳細には、本発明は、詐欺の検出、及び任意であるが、移動通信ネットワークの詐欺に対する保護に関連した装置、方法及びコンピュータプログラム製品に関する。
略語
3GPP:第3世代パートナーシッププロジェクト
5G:第5世代
AAA:認証、許可及びアカウンティング
AVP:属性値ペア
CC:課金特性
CCA:クレジットコントロール回答
CCR:クレジットコントロール要求
CDR:コールデータレコード
CGF:課金ゲートウェイファンクション
DRA:ダイアメータルーティングエージェント
EAP AKA:拡張性認証プロトコル認証及び重要合意
EPC:進化型パケットコア
GMSC:ゲートウェイMSC
GPRS:汎用パケット無線システム
GSM(登録商標):移動通信用グローバルシステム
GSMA:GSM(登録商標)アソシエーション
HPLMN:ホームPLMN
HSS:ホーム加入者サーバー
IDA:インサート加入者データ回答
IDR:インサート加入者データ要求
IMSI:国際移動加入者アイデンティティ
IoT:モノのインターネット
IP:インターネットプロトコル
IPSec:IPセキュリティ
ISND:サービス総合デジタル網
IWF:インターワーキングファンクション
LTE:長期進化
MAP:モバイルアプリケーションパート
MME:移動管理エンティティ
MSISDN:移動ステーションISDNナンバー
MSC:移動サービス交換センター
NDS:ネットワークドメインセキュリティ
OCS:オンライン課金システム
OFCS:OFfline課金システム
PLMN:公衆地上移動ネットワーク
PS:パケット交換
RFC:コメント要求
SC:サービスセンター
SGSN:サービングGPRSサポートノード
SM:ショートメッセージ
SMS:ショートメッセージサービス
SMSC:ショートメッセージサービスセンター
SRI:送信ルーティング情報
SS7:シグナリングシステム7
TLS:トランスポートレイヤセキュリティ
TS:技術仕様書
VPLMN:訪問先PLMN
WLAN:ワイヤレスローカルエリアネットワーク
本出願の技術分野は、LTE及び5Gネットワークにおける課金であり、より一般的には、LTE/5Gネットワークセキュリティである。運営者は、現在、自身のネットワークを潜在的攻撃に対して強固なものにする対策をとっており、特に、課金の悪用(詐欺)に対する保護手段を探している。これは、多数の装置が無人IoT装置であることが予想され、勘定のようなプロセスが運営者とIoT所有者との間で自動化され、それ故、潜在的な攻撃発見が即座に行われない5Gネットワークにとって極めて重要になる。
第3世代パートナーシッププロジェクト(3GPP)は、5Gのための技術的枠組みを定義している。
https://en.wikipedia.org/wiki/5Gによれば、次世代モバイルネットワークアライアンスは、現在規格化中である5Gネットワークのための以下の要求を定義する。
・数万人のユーザに対して毎秒数十メガバイトのデータレートをサポートしなければならない。
・同じオフィスフロアにいる数十人の従業員に毎秒1ギガビットを同時に付与しなければならない。
・大量のセンサ配備に対して数十万の同時接続をサポートしなければならない。
・4Gに比してスペクトル効率を著しく向上させねばならない。
・カバレージを改善しなければならない。
・シグナリング効率を向上させねばならない。
・LTEに比してレイテンシーを著しく減少しなければならない。
5Gにおいて、ノード間で契約、移動及び管理情報を転送するために、おそらく、ダイアメータ(Diameter)プロトコルが使用される。ダイアメータは、コンピュータネットワークのための認証、許可及びアカウンティングプロトコルとしてスタートした。ダイアメータベースプロトコルは、RFC6733により定義され、そしてAAAプロトコルのための最小限の要求を定義する。種々のダイアメータアプリケーションは、新たなコマンド、属性又はその両方を追加することによりベースプロトコルを拡張する。これらのダイアメータアプリケーションは、例えば、3GPPによって異なる文書に記載されている。IPSec又はTLSを配備することによりダイアメータセキュリティが与えられる。
通信ネットワークは、多数のダイアメータアプリケーションプロトコルを使用する。その1つの非常に一般的なものは、HSSとMMEとの間の通信プロトコルのためのダイアメータアプリケーションで、S6a/S6dと称される。ダイアメータプロトコルのインサート加入者データ要求(IDR)コマンドは、HSSからMME又はSGSN(S6a/S6dにインターフェイスする)へ送信される。インサート加入者データ要求を受け取るとき、MME又はSGSNは、加入者アイデンティティ(例えば、IMSIにより識別される)が既知であるかどうかチェックしなければならない。HSSは、この手順を使用して、MME又はSGSNに記憶されたユーザデータの特定の部分(=加入者データ又は契約データ)を送信データに置き換えるか又は送信データで更新し、或いはユーザデータの特定の部分を、MME又はSGSNに記憶されたデータに追加する。特に、インサート加入者データ手順は、ユーザ(加入者)がMME又はSGSNに位置する間に(即ち、ユーザに契約が与えられそしてその契約が変化した場合には)、とりわけ、HSSにおけるユーザデータの管理上の変更によりMME又はSGSNにおけるあるユーザデータを更新するためにHSSとMMEとの間及びHSSとSGSNとの間に使用される。ユーザデータは、加入者が課金されるアカウントを制御するOFCS及び/又はOCSのアドレスを含む。
セキュリティリサーチャーは、昨年実質的なセキュリティ脆弱性を発見した(参照文献[1]から[3]を参照されたい)。移動ネットワーク運営者は、自身のトラフィックを監視し、そしてそれらの脆弱性が攻撃者により実際に利用されること及び「通常の日」に数千の攻撃が生じることに注目した。詐欺及び他の無断メッセージが数ヶ月にわたり数百万メッセージにも達した。運営者は、現在、これらの詐欺行為及び無断ネットワークアクセスに対して新たなアクションを取りそしてフィルタリングメカニズムを導入している。その反応的手段として、運営者は、出願人の資料と共に、既知のSS7ベースの攻撃に対してどのような保護を取ることができるか開発した。あるセキュリティリサーチャーは、現在、特にダイアメータセキュリティにおいて、LTE及び5Gローミングの調査を開始した。
運営者団体GSMAは、現在、既知の攻撃を防止するために微粒度メカニズムを開発している。ダイアメータ詐欺攻撃は、まだ明らかでないが、攻撃者にとっては莫大な潜在的利得がある。それ故、本発明は、ユーザプロフィール情報の操作を試みる攻撃者に対してユーザ及びネットワークを保護することに焦点を置く。
ポジティブテクノロジーセキュリティは、MAPを使用して課金を回避する攻撃を記載しているが(参照文献[4])、その対策が提案されていない。古いネットワークタイプの攻撃があるが(SS7/MAP、参照文献[1]、[3]及び[4]を参照)、その保護手段は、プロトコル及びメッセージが異なるためLTE及び5Gネットワークとは相違する。
参照文献:
[1]Engel, Tobias, 31st Chaos Computer Club Conference (31C3), “SS7: Locate. Track. Manipulate”, (2014年12月)、
http://events.ccc.de/congress/2014/Fahrplan/system/attachments/2553/original/31c3-ss7-locate-track-manipulate.pdf
[2]Puzankov, Sergey, Kurbatov, Dimitry, PHDays 2014, “How to Intercept a Conversation Held on the Other Side of the Planet”(2014年5月)、http://www.slideshare.net/phdays/phd4-pres-callinterception119
[3]Karsten Nohl.(2014年12月)、”Mobile self-defense” Available FTP:http://tinyurl.com/n85sxyl
[4]Positive Technologies (PT), “Signaling System 7 (SS7) security report”(2014年12月)、http://www.ptsecurity.com/upload/ptcom/ss7_WP_A4. ENG.0036.01. DEC.28.2014.pdf
そこで、本発明の目的は、従来技術を改善することである。
本発明の第1の観点によれば、要求が受け取られたかどうか監視するための監視手段を備え、その要求は、課金システムの記憶された第1アドレスを第2アドレスに置き換えることを要求するものであり、第1アドレスは、第2アドレスとは異なり、そして課金システムは、加入者の一次アカウントを制御すると仮定され;更に、要求が受け取られた場合にそれが悪意のあるものかもしれないことを通知するための通知手段を備えた装置が提供される。
前記装置は、更に、要求が受け取られた場合に加入者に詐欺防止手順を適用するための詐欺防止手段を備えている。
前記装置は、更に、要求が受け取られた場合に、前記第2アドレスが課金システムの所定のアドレスリストに含まれたアドレスと一致するかどうかチェックするチェック手段、及び前記第2アドレスがその所定リストに含まれたアドレスの1つと一致する場合は詐欺防止手順の遂行を禁止するための禁止手段を備えている。
本発明の第2の観点によれば、要求が受け取られたかどうか監視するように構成された監視回路を備え、その要求は、課金システムの記憶された第1アドレスを第2アドレスに置き換えることを要求するものであり、第1アドレスは、第2アドレスとは異なり、そして課金システムは、加入者の一次アカウントを制御すると仮定され;更に、要求が受け取られた場合にそれが悪意のあるものかもしれないことを通知するよう構成された通知回路を備えた装置が提供される。
前記装置は、更に、要求が受け取られた場合に加入者に詐欺防止手順を適用するように構成された詐欺防止回路を備えている。
前記装置は、更に、要求が受け取られた場合に、前記第2アドレスが課金システムの所定のアドレスリストに含まれたアドレスと一致するかどうかチェックするよう構成されたチェック回路、及び前記第2アドレスがその所定リストに含まれたアドレスの1つと一致する場合には詐欺防止手順の遂行を禁止するように構成された禁止回路を備えている。
本発明の第3の態様によれば、要求が受け取られたかどうか監視することを含み、その要求は、課金システムの記憶された第1アドレスを第2アドレスに置き換えることを要求するものであり、第1アドレスは、第2アドレスとは異なり、そして課金システムは、加入者の一次アカウントを制御すると仮定され;更に、要求が受け取られた場合にそれが悪意のあるものかもしれないことを通知する;ことを含む方法が提供される。
前記方法は、更に、要求が受け取られた場合に加入者に詐欺防止手順を適用することを含む。
前記方法は、更に、要求が受け取られた場合に、前記第2アドレスが課金システムの所定のアドレスリストに含まれたアドレスと一致するかどうかチェックし;及び前記第2アドレスがその所定リストに含まれたアドレスの1つと一致する場合は詐欺防止手順の遂行を禁止する;ことを含む。
前記方法は、詐欺防止の方法である。
第1及び第2のいずれかの観点による装置、並びに第3の観点による方法では、詐欺防止手順は、次の1つ以上を含む。
−加入者の一次アカウントのクレジットコントロールを実行するためにトリガーし;
−第1アドレスを第2アドレスに置き換えるのを禁止し;
−課金システムにおいて加入者のバックアップアカウントをアクチベートし、バックアップアカウントは、一次アカウントに対応し、そして加入者の課金イベントに対してバックアップアカウントに課金し;
−第1アドレスが要求により第2アドレスに置き換えられたかのように要求の発生源に成りすまし;
−要求のソースアドレスをブラックリストに入れ;
−加入者の一次アカウントをロックし;及び
−サイレントアラームを発生する。
本発明の第4の観点によれば、装置において実行されたときに、第3の観点による方法を装置に実行させるように構成されたインストラクションのセットを備えたコンピュータプログラム製品が提供される。コンピュータプログラム製品は、コンピュータ読み取り可能な媒体として実施されてもよいし、又はコンピュータへ直接ロードすることもできる。
本発明の幾つかの規範的実施形態によれば、次の技術的効果の少なくとも1つが提供される。
−詐欺が早期に検出され;
−詐欺が防止され;及び
−IPSec又はTLSが実施されるかどうかに関わらず、詐欺防止が達成される。
前記変更は、いずれも、代替手段を排除すると明確に記載されない限り、それらが参照する各観点に単一で又は組み合わせて適用できることを理解されたい。
更に別の詳細、特徴、目的及び効果は、添付図面に関連した本発明の規範的実施形態の以下の詳細な説明から明らかとなろう。
DRA2を示す図である。 DRA2を示す図である。 DRA2を示す図である。 DRA2を示す図である。 本発明の規範的実施形態による装置を示す。 本発明の規範的実施形態による方法を示す。 本発明の規範的な実施形態による装置を示す。
以下、添付図面を参照して本発明の幾つかの規範的実施形態を説明する。それら規範的実施形態の特徴は、特に指示のない限り、互いに自由に合成することができる。しかしながら、ある実施形態の説明は、一例として示されたものに過ぎず、且つ本発明を、ここに開示する詳細に限定するものではないことを理解されたい。
更に、装置は、それに対応する方法を遂行するように構成されるが、あるケースでは、装置又は方法しか記述されないことを理解されたい。
本出願人は、自身の研究において、ダイアメータプロトコルを詐欺的に利用する3つの方法を発見した。
−攻撃者が前払いアカウントに対する課金を回避し;
−攻撃者が後払いアカウントに対する課金を回避し;及び
−攻撃者が課金を回避するように前払いアカウントを変換する。
本発明の幾つかの実施形態は、これら3つの攻撃に対する対策を提供する。
本発明の幾つかの実施形態によれば、運営者ネットワーク保護に対して次の仮定がなされる。しかしながら、それらの仮定は、本発明の実施形態に対する強制的条件ではない。運営者及びセキュリティ会社との協議、運営者インターワーキング資料での調査、等で、それらの仮定はほとんどのネットワーク運営者の真の現実性に対するものであり(全ての運営者が文書化されたものではない)そして非公式な通信において口頭で確認されたものであることが示された。大きな潜在的財務上の影響のため、いずれのオペレータ又は相互接続プロバイダーも、自身の脆弱性を公式に表明することはまずあり得ない。
・IPSecは、あまり使用されない(特に、相互接続に対して)。3GPP TS 33.210によるNDS/IPネットワークレイヤセキュリティは、ローミングインターフェイスにはあまり使用されない。他のセキュリティプロトコル、例えば、TLSは、滅多に使用されない。技術的には、これは、次のことを意味する。
−データは、完全にクリアテキストで送信される。
−ゼロキーが使用される。
・相互接続においてフィルタリングは行われない。
−IPアドレスフィルタリング(ホワイト/ブラックリスト)なし。
−パートナーアドレスブック又はハードコードリターンアドレスなし。
−アクセスコントロールリストの使用なし(この仮定は1つの攻撃にのみ有用)。
・ダイアメータルーティングエージェントは、自身のヘッダを追加し、そして受け取ったメッセージを正しいノードへ転送する。
以下に述べる幾つかの攻撃は、それらのセキュリティ方法が配備された場合でも、依然可能であることに注意されたい。ちょうど、前記仮定がネットワークに対して保持される場合には、非常に脆弱であると考えられる。運営者が前記方法の1つ以上を配備する場合には、攻撃がより激しくなる。前記仮定の多くは、インターネット環境から来る熟練者にとって信じがたいものであるが、テレコミュニケーションネットワークは、最近まで、付加的なセキュリティ要求が全くない閉じたSS7システムであり、現在、ゆっくりと進化していることを考慮しなければならない。
一般的に、識別された詐欺方法は、次のように識別される。
−攻撃者が前払いアカウントに対する課金を回避し;
−攻撃者が後払いアカウントに対する課金を回避し;及び
−攻撃者が課金を回避するように前払いアカウントを変換する。
これらの攻撃は、次のように作用する。
−攻撃者は、有効なOCSアドレスを擬似OCSアドレス(例えば、代替的ローミングプロバイダーのOCSアドレス)に置き換え、従って、加入者自身のアカウントに充分な預金がなくてもサービスをスタートすることができる。ヨーロッパ連合(EU)では、この詐欺は、EUローミング条例により制限される。
−有効なOFCSアドレスと無効のOFCSアドレスとの交換は、無効の課金システムへの課金データのアグリゲーションを招く。ビリングシステムにおける再構築努力は、より費用が掛かる。それ故、使用課金要求は、ある時間中、無視されてもよい。
−有効なOCSアドレスとOFCSアドレスとの交換は、無効の課金システムへの課金データのアグリゲーションを招く。ビリングシステムでの収集は、毎月のクロスチェックアグリゲーション中に悪用を発見する。
あるケースでは、攻撃者は、有効なOCS又はOFCSアドレスを得る方法を見出し、そして正しいOCSアドレス又はOFCSを、有効な(しかし、誤った)OCSアドレス又はOFCSに置き換えて、サービスの利用について別のアカウント利用者に課金する。有効なOCSアドレスに置き換えるケースでは、詐欺が、求められたアカウント所有者によりリアルタイムで観察され、従って、直ちに停止される。有効なOFCSアドレスに置き換えることは、ビリングシステムにおける毎月の後アグリゲーション中のサービス利用の後でなければ欠陥要求が識別されないので、長い寿命を有する。それ故、騙されたユーザアカウントは、詐欺補償を得る能力に限度がある。
3つの潜在的な攻撃は、全て、同じ情報収集フェーズ(フェーズIと称される)を有する(図1を参照)。
図1に示したように、攻撃者1aは、SMS GMSCとして働く。これについて、彼は、ユーザのMSISDN及びDRA2のアドレス(任意、以下参照)を知らねばならない。攻撃者1aは、(SMS GMSCに成りすまし)MSISDN及びSM要求に対するSC(SMSC)のアドレスを含むダイアメータ送信ルーティング情報をDRAへ送信する(101)。SCのアドレスは任意であり、真のSCのアドレスである必要はない。クラウド8は、運営者のドメインを示し、そのDRA2は、SMSCのようなダイアメータ外部エンティティへのゲートウェイである。DRA2は、送信ルーティング情報をHSS3へ転送する(102)。
送信ルーティング情報102に応答して、HSS3は、DRA2を経て、攻撃者1a(SMS GMSCに成りすます)に、結果コードDIAMETER_SUCCESSFULを伴う次の情報(メッセージ103、104)、即ちIMSI;MSISDN;及びユーザが登録される1つのサービングノード(例えば、MSC、SGSN又はMME)のアイデンティティを与える。以下、SGSN4は、サービングノードの一例と考えられるが、本発明の実施形態は、他の種類のサービングノードにも適用される。
従って、攻撃者は、MSISDN及びDRA2のアドレスに加えて、IMSI、HSSアドレス、加入者の少なくとも1つのサービングノードのアイデンティティを学習する。
この情報は、次の攻撃の少なくとも1つを遂行するのに充分である。
攻撃者がこの情報又はその一部分を得るための他の選択肢がある。例えば、
−偽のベースステーションを使用してIMSIを取得し;
−WLANアクセスポイントを使用してEAP_AKAを実行し;
−MAPメッセージSRI_SM又はSRI又はSRI_GPRSをネットワークファンクションへ送信し;
−運営者間のローミング合意に関する情報を含むデータベース、例えば、GSMA IR.21データベースにハッキングし;
−電話への物理的アクセスを得てユーザインターフェイスからIMSIを要求し;及び
−スマートカード会社から直接又は彼等が運営者へ情報を転送する間にIMSIリストを盗む。
第1の攻撃は、OFCSアドレスをリセットすることによりビリングを妨げる(図2を参照)。この攻撃では、攻撃者1bがHSSとして働く。即ち、図1の攻撃者1aは、その役割をSMS GMSCからHSSへ変化し、ここでは、攻撃者1bとして示される。この状況において、SMS GMSCとして又はHSSとしての攻撃者の役割は、対応するネットワーク要素について予想されるように、攻撃者がDRA2にメッセージを与えることしか要求しないことである点に注意されたい。攻撃者がSMS GMSC又はHSSの内部機能を与えることも、攻撃者がDRA2以外のネットワークエンティティへのインターフェイスを与えることも必要とされない。
前記説明によれば、攻撃者1aは、攻撃者1bと同じである。しかしながら、要求された情報が攻撃者1aから攻撃者1bへ転送される場合には、それらが互いに異なってもよい。
図2に示すように、HSSに成りすます攻撃者1bは、IMSIを伴うインサートデータ要求(IDR)111を、サービングノード、例えば、SGSN4へ送信する。IMSI及びサービングノードのアイデンティティは、図1のメッセージ103、104から分かる。IDR111は、オフライン課金のためのOFCSのアドレスのような少なくとも3GPP課金特性(CC)を含む契約データを包含する。IDR111により、攻撃者1bは、サービングノード(SGSN4)に記憶されたOFCSのアドレスを、攻撃者サーバーのアドレスのような偽のアドレスにセットすることを要求する。
それに応答して、SGSN4は、結果コードDIAMETER_SUCCESSを伴う確認(IDA112)を送信する。
又、偽のアドレスにおけるサーバー(例えば、攻撃者1b)は、OFCSに成りすますためにSGSN4にインターフェイスを与える。従って、SGSN4の観点から、偽のアドレスのサーバーは、有効なOFCSであるが、偽のアドレスのサーバーは、インターフェイス以外のOFCSの機能を与えない。例えば、受け取ったCDRを単に破棄するだけでもよい。その結果、MSISDN(及びIMSI)のユーザは、今や、SGSNのデータがリセットされるまで、無料サービスを利用することができる。
第2及び第3の攻撃は、前払いユーザに無料サービスを提供する試みをする。
図3は、攻撃者1b(HSSに成りすます)が図1の攻撃者1a(攻撃者1bと同じでもよいし異なってもよい)により得られた情報に基づいて遂行する第2の攻撃を示す。この攻撃では、OCSアドレスがサービングノード(例えば、SGSN4)においてリセットされる。
図3に示すように、HSSに成りすます攻撃者1bは、IMSIを伴うインサートデータ要求(IDR)121を、サービングノード、例えば、SGSN4へ送信する。IMSI及びサービングノードのアイデンティティは、図1のメッセージ103、104から分かる。IDR121は、オンライン課金のためのOCSのアドレスのような少なくとも3GPP CCを含む契約データを包含する。IDR121により、攻撃者1bは、サービングノード(SGSN4)に記憶されたOCSのアドレスを、攻撃者サーバーのアドレスのような偽のアドレスにセットすることを要求する。
それに応答して、SGSN4は、結果コードDIAMETER_SUCCESSを伴う確認(IDA122)を送信する。
又、偽のアドレスにおけるサーバー(例えば、攻撃者1b)は、OCSに成りすますためにSGSN4にインターフェイスを与える。特に、偽のアドレスのサーバーは、ユーザが自分のアカウントに充分なクレジットを有することをSGSN4に確認する。従って、ユーザは、詐欺行為が検出されるまでサービスを無料で利用する。
第2の攻撃は、迅速に検出される。それ故、第3の攻撃は、前払いユーザにとってより有利なものとなる。
図4は、攻撃者1b(HSSに成りすます)が図1の攻撃者1a(攻撃者1bと同じでもよいし異なってもよい)により得られた情報に基づいて遂行する第3の攻撃を示す。この攻撃では、OCSアドレスがサービングノード(例えば、SGSN4)においてリセットされる。
図4に示すように、HSSに成りすます攻撃者1bは、IMSIを伴うインサートデータ要求(IDR)131を、サービングノード、例えば、SGSN4へ送信する。IMSI及びサービングノードのアイデンティティは、図1のメッセージ103、104から分かる。IDR131は、少なくとも3GPP CCを含む契約データを包含する。第3の攻撃において、IDRは、OFCSのアドレスしか含まず、OCSのアドレスは含まない。従って、MSISDNを伴う前払いユーザは、SGSN4の観点から後払いユーザとされる。第3の攻撃において、IDR131により与えられるOFCSのアドレスは、攻撃者1bのアドレスのような偽のアドレスである。
それに応答して、SGSN4は、結果コードDIAMETER_SUCCESSを伴う確認(IDA132)を送信する。
ユーザは、SGSNのデータがリセットされるまで課金されずにサービスを利用することができる。
潜在的に、運営者は、例えば、加入者に対する毎月の勘定書作成中に攻撃を検出する。
即ち、典型的に、加入者に対する毎月の勘定書作成中に、他の記録されたレコード、特に、価格に関連したレコード、例えば、運営者間アカウンティングのローミングレコードに対するクロスチェックと共に、幾つかの実行が行われる。
OFCSアドレスが攻撃者により偽のIPアドレスに置き換えられる場合、ダイアメータを経てのCDRの分散型収集のケースでは、全ての課金イベントが、即座の影響なく、偽のアドレスのサーバーへ再指向される。
集中型収集が展開される場合には、全ての課金イベントが課金ゲートウェイファンクション(CGF)によりアグリゲートされてレコードに相関され、CGFは、それにより生じるCDRを後処理システムへ転送する。
CGFに接続されたネットワーク要素に攻撃する場合には、CGFは、OFCS IPアドレスが有効でないためにCDRを課金システムへ転送しない。従って、エラーが発生し、そして欠陥管理システムに関連付けられ、その結果、例えば、加入者のアカウントをブロックする。これは、ビリングシステムによる勘定のための毎月の実行と並列に行われてもよい。
CDRの分散型収集については、「真の」加入者アカウントに対して直接的にCDRが発生されることはない。しかしながら、他のサービスノードにより発生される他のCDR、例えば、ゲートウェイレコード又はアプリケーションサーバーレコードが存在する。これらのCDRは、一貫性のために発生され、そして例えば、移動ネットワーク運営者とサービスプロバイダーとの間のコスト分割のケースでは、クロスチェックのために使用される。必ずしもそうでないが、典型的に、そのような一貫性のチェックは、月末に実行される。そのような一貫性のチェックにより、攻撃が検出され、そしてエラーが生じることがある。その結果、欠陥管理システムは、例えば、加入者のアカウントを禁止するか又は契約を削除することによりシステムから加入者をドロップさせる。
上述したように、偽のOFCSアドレスは、分散構成のケースでは、ダイアメータアカウンティングアプリケーションにより課金イベントを再指向するか、又はCGFにおける無効課金システムの集中型構成のケースでは、GTPレコードをアグリゲートすることを招く。プロトコルは、一方向にしか働かず、即ち収集のためにしか働かないので、ビリングシステムにおける詐欺観察の遅延が保証される。
偽のOCSアドレスについては、両方向に且つリアルタイムで相互作用する別のダイアメータクレジットコントロールアプリケーションが使用されるために、課金方法は、より繊細なものになる。それ故、他のオンライン課金ダイアログが同時に進行しても、ネットワークにおいて操作が観察される。即ち、攻撃は、即座に識別され、そして欠陥管理システムは、それに応じて働くことができる。
OCSアドレスを偽のアドレス(“Hacker−OCS”)に置き換えるケースでは、受信したダイアメータクレジットコントロール要求メッセージにおいて対応する格付けグループにより識別された要求されたサービスに対する充分な許可サービスユニット(GSU)でHacker−OCSが有効なダイアメータクレジットコントロール回答(CCA)メッセージに応答できる場合には、加入者が無料サービスを使用してもよい。即ち、Hacker−OCSは、受信したダイアメータCCRメッセージを分析し、そして適当なダイアメータCCAメッセージの全詳細をサービスノードへ戻すことができねばならない。これは、サービス要求においてGSUに要求するか又はそれに対応するCDRを統計学的及びクロスチェックのためにサービス利用後にビリングシステムへ提示する関連サービスノードが他にない限り、機能する。
OCSアドレスが有効なIPアドレスである場合、例えば、ローミング条例のケースでは、ローミングサービスノードは、ローミングサービスノードにおいてGSUの一貫性をチェックする(例えば、通常は、休日の加入者は、ある程度の会話時間、SMS又はデータ量及び無限でない会話時間、無限数のSMS又はデータ量を有する)。従って、ビリングシステムは、おそらく、発生されたローミングCDRにより、運営者間アカウンティングのための毎月のクロスチェック中に詐欺行為を識別する。
NDS/IPによるIPSecの使用は、ホワイト及びブラックリストのように、ある程度の保護を与える(今日の実際の具現化では、それは、典型的に、有用でない。というのは、ほとんどの運営者は、ローミングホップのサービスを利用しており、ダイアメータは、ホップバイホップのセキュリティを有し、そして第1のレッグしか保証されないからである)。攻撃者がローミングハブの後に「隠れる」ときには、IPホワイト/ブラックリストに対して同様の問題が生じる。
しかし、これら手段があっても、ソースアドレスの成りすましは、依然、可能であり、攻撃も、依然、可能である。非LTE/5G運営者をサポートする必要性は、運営者がインターワーキングファンクション(IWF)を配備しなければならないことを必須とし、その結果、提示される攻撃がIWFを使用して可能になってしまう。
そのような攻撃は、ローミング構成に影響を及ぼさすに完全に防止することができないので、本発明の幾つかの実施形態は、例えば、後払い(OFCS)又は前払い(OCS)ユーザのために課金システム又はビリングシステムアドレスがリセットされ及び課金方法が前払いから後払いへ変更されるケースでは、運営者構成に対する違反の影響を減少することに関連付けられる。
本発明の幾つかの実施形態は、以下の攻撃の少なくとも1つを潜在的に防止する。
−前払い顧客に対する勘定回避の防止
−後払い顧客に対する勘定回避の防止
−前払い顧客を後払い顧客へ「格上げ」
これら攻撃の例は、前記で詳細に述べた。
一般的に、攻撃の観察は、攻撃者に分からないようにするのが好ましい。単に変更のふりをし、及び/又はサイレントアラームを送信する異なるレベルの活動をトリガーすることができる。
IDRコマンドが受け取られると、OFCS/OCSアドレスの更新、又はOCSと、IR.21 GSMAデータベースをハッキングすることから得られるOFCSアドレスとの交換を要求するかどうかの初期チェックがなされる。そのような行動が検出された場合は、本発明の幾つかの実施形態によれば、次のチェックの少なくとも1つを実行して、IDRメッセージの信頼性のスコアを得ることができる。
−送信側IPが正しいノードタイプ(例えば、SGSN、MME、HLR、等)であるかどうかの確認(即ち、特定のノードタイプだけがIDRコマンドを送信することが許され、このチェックは、正しいノードタイプがIDRコマンドを送信したかどうか確認する)。メッセージは、どのノードタイプ、例えば、MME、SGSNがメッセージの送信者であるかを含むことに注意されたい。このタイプのチェックは、メッセージにおいて「正しい」ノードタイプを与えるように攻撃者が偽のアドレスにおいてサーバーを構成する場合には有用でない。
−IDRコマンドにより要求されたときにOFCSアドレスが更新されるか又はOCSアドレスが変更され、そして同じタイプにおいて、フォールバックの目的でバックアップアカウントが生成される。そのバックアップアカウントは、MSISDNのユーザのアカウント(「一次アカウント」)に対応する。全ての課金イベントは、バックアップアカウントが正しくなるように、バックアップアカウントへ課金される。
−前払いテストOCS課金は、そのユーザ、及びIDRに指示されたOCSアドレスに対して遂行され、そしてクレジットコントロール実行がなされる(アカウントは、イベントベースのバランスチェックでチェックできる)。クレジットコントロール実行が成功でなければ、IPアドレスが注目される(潜在的にブラックリストに入れられると記録される)。OCSアドレスの交換に基づいてクレジットコントロールを実行することは、かなり重要なステップである。これは、クレジットコントロールの実行が通常は月末にのみ行われるので、特別な実行である。
−更に、攻撃者への回答は、攻撃者が予想する通りに遂行される。
−潜在的対抗攻撃に対する既存の詐欺データベースでのクロスチェックが遂行される。
−要求側IPアドレス(攻撃者のIPアドレス)がブラックリストに追加される。
−前払いアカウントがロックされる。
−OCSアドレスの不首尾なテストに加えて、攻撃者のIPアドレスが検証のために1つ以上のブラックリストパートナーへ転送される(パートナーのノードが丁度ハッキングされた)。その攻撃に関連した情報、即ち技術的なシグネチャー及び振舞いは、例えば、GSMAにより維持される詐欺データベースへ自動的にアップロードされ、他のパートナーは、最新のシグネチャーファイルをダウンロードすることができる。
−詐欺管理システムへの(サイレント)アラームが発生される。
本発明のある実施形態によれば、OCSの変更又はOFCSの変更は、サイレントアラームをトリガーし、そして有効なOCSアドレス又はOFCSアドレスのリストに対して新たなアドレスが確認される。変更されたOCSアドレス又はOFCSが有効アドレスの入力と一致しない場合には、詐欺防止プロセスがスタートする。さもなければ、一致がある場合には、IDRメッセージが詐欺でなく、詐欺防止プロセスをスタートする必要はないと仮定する。
好ましくは、本発明の幾つかの実施形態による振舞いは、3GPPによって規格化される。3GPP TS 23.060、第6.11.1.1章“IDS procedure”においてEPCノード(例えば、SGSN)でインサート加入者データ要求を受け取るための記載は、拡張を許さない。従って、規格化のための適所は、3GPP TS 29.272、第5.2.2.1章“IDS structure”及び第7.3.2章“Subscription Data (3GPP-CHCA)”である。新規な方法が既存の仕様書において固定される例を以下に示す。追加部分は、イタリック体で書かれている。

5.2.2.1 インサート加入者データ
5.2.2.1.1 全般

インサート加入者データ手順は、次の状況においてMME又はSGSNのユーザデータを更新し及び/又は要求するためにHSSとMMEとの間及びHSSとSGSNとの間で使用されねばならない:

HSSにおけるユーザデータの管理上の変更のため、ユーザは、現在、MME又はSGSNに位置し、即ちユーザに契約が与えられ、そして契約が変更になった場合;

5.2.2.1.2 MME及びSGSNの詳細な振舞い
インサート加入者データ要求を受け取るときに、MME又はSGSNは、IMSIが既知であるかどうかチェックしなければならない。

仕様書のこの点において、OCSアドレス変更を伴うISDメッセージのケースに対して必須のクレジットコントロール実行を要求する。

5.2.2.1.4 MME及びSGSNの異常トリガーの場合の詳細な振舞い
通常の識別された状況の他にMME又はSGSNがインサート加入者データ要求を受け取ると、詐欺防止手順が適用される。

以前の要求で受け取られた記憶されたコンテンツとは異なる契約データAVPに3GPP課金特性AVPが存在する場合は、MME又はSGSNは、変更を無視するが、エラー指示なしに応答し、そして成功裏な置き換えに成りすます。さらに、同時に、サイレントアラームが更なるアクションについて詐欺管理に通知する。
追加手段として、OCSのCCR[Event(BalanceCheck)]を外部の通知とリンクするために3GPP TS 32.296/3GPP TS 32.299に委託する。
図5は、本発明の規範的実施形態による装置を示す。この装置は、SGSN、MSC、MME又はその要素のようなサービングノードである。図6は、本発明の規範的実施形態による方法を示す。図5の装置は、図6の方法を遂行するが、この方法に限定されない。図6の方法は、図5の装置により遂行されるが、この装置により遂行されることに限定されない。
装置は、監視手段10及び通知手段20を備えている。監視手段10及び通知手段20は、各々、監視回路及び通知回路でよい。
監視手段10は、要求が受け取られたかどうか監視する(S10)。この要求は、課金システムの記憶された第1アドレスを第2アドレスに置き換えることを要求する。記憶された第1アドレスは、第2アドレスとは異なる。課金システムは、加入者の一次アカウントを制御すると仮定する。要求は、例えば、IDRメッセージである。
要求が受け取られた場合に(S10=「イエス」)、通知手段20は、その要求が悪意のあるもの(詐欺行為)かもしれないことを通知する(S20)。
図7は、本発明の規範的な実施形態による装置を示す。この装置は、少なくとも1つのプロセッサ610、及びコンピュータプログラムコードを含む少なくとも1つのメモリ620を備え、少なくとも1つのプロセッサ610は、少なくとも1つのメモリ620及びコンピュータプログラムコードとで、少なくとも、図6及びその関連説明による方法を装置に遂行させるように構成される。
ダイアメータプロトコルに代って、本発明のある実施形態では、契約情報を提出し及び置き換えることのできる別のプロトコル、例えば、RADIUSが使用されてもよい。又、IMSIに代って、別の加入者識別、例えば、T−IMSI又はMSISDNが使用されてもよい。
IDRメッセージが潜在的に悪意のあるものかどうかのチェックは、IDR要求の受取人(例えば、MME又はSGSN)において、又はIDRメッセージが通過する中間ノード(例えば、DRA)において、又はネットワークトラフィック(IDRメッセージのようなコントロールメッセージの少なくとも幾つか又は全部)を監視するための個別の装置において遂行される。
1つの情報断片は、1つ又は複数のメッセージにおいて、あるエンティティから別のエンティティへ送信される。これらメッセージの各々は、更に別の(異なる)情報断片を含む。
ネットワーク要素、プロトコル及び方法の名称は、現在の規格に基づくものである。他のバージョン又は他のテクノロジーにおいて、これらネットワーク要素及び/又はプロトコル及び/又は方法の名称は、それらが対応する機能を発揮する限り、異なってもよい。
特に記載がないか又は文脈から明確な場合は、2つのエンティティが異なるという記載は、それらが異なる機能を遂行することを意味する。これは、必ずしも、それらが異なるハードウェアに基づくことを意味するものではない。即ち、この説明で述べる各エンティティが異なるハードウェアに基づいてもよいし、或いはエンティティの幾つか又は全部が同じハードウェアに基づいてもよい。又、これは、必ずしも、それらが異なるソフトウェアに基づくことを意味するものではない。即ち、この説明で述べる各エンティティが異なるソフトウェアに基づいてもよいし、或いはエンティティの幾つか又は全部が同じソフトウェアに基づいてもよい。
本発明の幾つかの規範的実施形態は、上述したように、3GPPネットワーク(例えば、LTE、LTE−A又は5Gネットワーク)に適用される。しかしながら、本発明の幾つかの規範的実施形態は、加入者にサービスするノードに3GPP CCデータが記憶された任意の種類のネットワークに適用されてもよい。
図1から4には、DRA2が示されている。しかしながら、DRA2は、任意である。各メッセージは、RDA2により中継されずに通信パートナー間で直接的に交換されてもよい。従って、DRA2が得られないか又はバイパスされる場合には、各攻撃者1aから1dは、各メッセージの(最終)受信人のアドレスを知る必要がある。
ターミナルは、各ネットワークに取り付けられる任意の種類のターミナルである。例えば、ターミナルは、UE、マシンタイプ通信のデバイス、ラップトップ、スマートフォン、モバイルフォン、等である。
従って、以上の説明によれば、本発明の規範的実施形態は、例えば、MME又はSGSN又はDRA又はそのコンポーネントのようなネットワークノード、それを実施する装置、それを制御及び/又は動作する方法、それを制御及び/又は動作するコンピュータプログラム、並びにそのようなコンピュータプログラムを保持し且つコンピュータプログラム製品を形成する媒体を提供することが明らかであろう。従って、以上の説明によれば、本発明の規範的実施形態は、例えば、ネットワークトラフィック監視デバイス又はそのコンポーネント、それを実施する装置、それを制御及び/又は動作する方法、それを制御及び/又は動作するコンピュータプログラム、並びにそのようなコンピュータプログラムを保持し且つコンピュータプログラム製品を形成する媒体を提供することが明らかであろう。
以上に述べたブロック、装置、システム、技術、手段、エンティティ、ユニット、デバイス又は方法の実施は、非限定例として、ハードウェア、ソフトウェア、ファームウェア、特殊目的回路又はロジック、汎用ハードウェア又はコントローラ又は他のコンピューティングデバイス、バーチャルマシン、或いはその組み合せとしての実施を包含する。
これら実施形態の説明は、一例として与えられたものであり、特許請求の範囲に規定された本発明の範囲から逸脱せずに種々の変更がなされ得ることに注意されたい。
1a、1b:攻撃者
2:DRA
4:SGSN
3:HSS
8:クラウド
10:監視手段
20:通知手段
610:プロセッサ
620:メモリ

Claims (18)

  1. 要求が受け取られたかどうか監視するための監視手段を備え、その要求は、課金システムの記憶された第1アドレスを第2アドレスに置き換えることを要求するものであり、第1アドレスは、第2アドレスとは異なり、そして課金システムは、加入者の一次アカウントを制御すると仮定され;及び
    要求が受け取られた場合にその要求が悪意のあるものかもしれないことを通知する通知手段;
    を備えた装置。
  2. 要求が受け取られた場合に加入者に詐欺防止手順を適用するための詐欺防止手段を更に備えた、請求項1に記載の装置。
  3. 前記詐欺防止手順は、加入者の一次アカウントのクレジットコントロールを実行するためにトリガーすることを含む、請求項2に記載の装置
  4. 前記詐欺防止手順は、第1アドレスを第2アドレスに置き換えるのを禁止することを含む、請求項2又は3に記載の装置。
  5. 前記詐欺防止手順は、
    課金システムにおいて加入者のバックアップアカウントをアクチベートし、バックアップアカウントは、一次アカウントに対応し;及び
    加入者の課金イベントに対してバックアップアカウントに課金する;
    ことを含む、請求項2又は3に記載の装置。
  6. 前記詐欺防止手順は、第1アドレスが要求により第2アドレスに置き換えられたかのように要求の発生源に成りすますことを含む、請求項4又は5に記載の装置。
  7. 前記詐欺防止手順は、
    要求のソースアドレスをブラックリストに入れ;
    加入者の一次アカウントをロックし;及び
    サイレントアラームを発生する;
    ことの少なくとも1つを含む、請求項2から6のいずれかに記載の装置。
  8. 要求が受け取られた場合に、前記第2アドレスが課金システムの所定のアドレスリストに含まれたアドレスと一致するかどうかチェックするチェック手段;及び
    前記第2アドレスがその所定リストに含まれたアドレスの1つと一致する場合には前記詐欺防止手順の遂行を禁止するための禁止手段;
    を備えた、請求項2から7のいずれかに記載の装置。
  9. 要求が受け取られたかどうか監視することを含み、その要求は、課金システムの記憶された第1アドレスを第2アドレスに置き換えることを要求するものであり、第1アドレスは、第2アドレスとは異なり、そして課金システムは、加入者の一次アカウントを制御すると仮定され;更に、
    要求が受け取られた場合にそれが悪意のあるものかもしれないことを通知する;
    ことを含む方法。
  10. 要求が受け取られた場合に加入者に詐欺防止手順を適用することを更に含む、請求項9に記載の方法。
  11. 前記詐欺防止手順は、加入者の一次アカウントのクレジットコントロールを実行するためにトリガーすることを含む、請求項10に記載の方法。
  12. 前記詐欺防止手順は、第1アドレスを第2アドレスに置き換えるのを禁止することを含む、請求項10又は11に記載の方法。
  13. 前記詐欺防止手順は、
    課金システムにおいて加入者のバックアップアカウントをアクチベートし、バックアップアカウントは、一次アカウントに対応し;及び
    加入者の課金イベントに対してバックアップアカウントに課金する;
    ことを含む、請求項10又は11に記載の方法。
  14. 前記詐欺防止手順は、第1アドレスが要求により第2アドレスに置き換えられたかのように要求の発生源に成りすますことを含む、請求項12又は13に記載の方法。
  15. 前記詐欺防止手順は、
    要求のソースアドレスをブラックリストに入れ;
    加入者の一次アカウントをロックし;及び
    サイレントアラームを発生する;
    ことの少なくとも1つを含む、請求項10から14のいずれかに記載の方法。
  16. 要求が受け取られた場合に、前記第2アドレスが課金システムの所定のアドレスリストに含まれたアドレスと一致するかどうかチェックし;及び
    前記第2アドレスがその所定リストに含まれたアドレスの1つと一致する場合には前記詐欺防止手順の遂行を禁止する;
    ことを更に含む、請求項1から15のいずれかに記載の方法。
  17. 装置において実行されたときに、請求項9から16による方法を装置に実行させるように構成されたインストラクションのセットを備えたコンピュータプログラ
  18. コンピュータ読み取り可能な記録媒体に記憶されるか、又はコンピュータへ直接ロード可能である、請求項17に記載のコンピュータプログラ
JP2018520491A 2015-10-21 2015-10-21 課金詐欺に対する検出方法 Active JP6567181B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2015/074356 WO2017067588A1 (en) 2015-10-21 2015-10-21 Detection method against charging fraud

Publications (2)

Publication Number Publication Date
JP2018533303A JP2018533303A (ja) 2018-11-08
JP6567181B2 true JP6567181B2 (ja) 2019-08-28

Family

ID=54364288

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018520491A Active JP6567181B2 (ja) 2015-10-21 2015-10-21 課金詐欺に対する検出方法

Country Status (6)

Country Link
US (1) US10349281B2 (ja)
EP (1) EP3366017B1 (ja)
JP (1) JP6567181B2 (ja)
KR (1) KR102146925B1 (ja)
CN (1) CN108370371B (ja)
WO (1) WO2017067588A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102116307B1 (ko) 2019-11-26 2020-05-29 한국인터넷진흥원 이동 통신망에서의 diameter 프로토콜 idr 메시지 스푸핑 공격 탐지 방법 및 그 장치
EP4315905A1 (en) * 2021-03-24 2024-02-07 Syniverse Technologies, LLC Interworking function for enabling volte roaming
WO2023059230A1 (en) * 2021-10-04 2023-04-13 Telefonaktiebolaget Lm Ericsson (Publ) Methods and systems for internal fraud control based on volume and time constraints of rejected call records

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2365680B (en) * 2000-03-21 2004-01-28 Ericsson Telefon Ab L M Transmission of call detail records in a telecommunications system
JP3996030B2 (ja) * 2002-10-04 2007-10-24 三菱電機株式会社 コンテンツ利用権管理装置
US7870078B2 (en) * 2002-11-01 2011-01-11 Id Insight Incorporated System, method and computer program product for assessing risk of identity theft
JP2006025374A (ja) * 2004-07-09 2006-01-26 Fujitsu Ltd ワイヤレス通信不正使用検証システム
CN101277202B (zh) * 2007-03-29 2012-06-27 华为技术有限公司 计费方法以及计费系统
US8695097B1 (en) * 2007-08-28 2014-04-08 Wells Fargo Bank, N.A. System and method for detection and prevention of computer fraud
US8813168B2 (en) * 2008-06-05 2014-08-19 Tekelec, Inc. Methods, systems, and computer readable media for providing nested policy configuration in a communications network
US8588744B2 (en) * 2008-11-26 2013-11-19 Ringcentral, Inc. Fraud prevention techniques
US8712374B2 (en) 2010-11-24 2014-04-29 Alcatel Lucent Method and apparatus for providing charging status information to subscriber of communication service
EP2848074B1 (en) * 2012-05-09 2016-04-06 Telefonaktiebolaget LM Ericsson (publ) Handling communication sessions in a communications network

Also Published As

Publication number Publication date
KR20180074742A (ko) 2018-07-03
CN108370371A (zh) 2018-08-03
US10349281B2 (en) 2019-07-09
WO2017067588A1 (en) 2017-04-27
US20180310182A1 (en) 2018-10-25
KR102146925B1 (ko) 2020-08-21
EP3366017B1 (en) 2022-03-23
CN108370371B (zh) 2021-08-03
JP2018533303A (ja) 2018-11-08
EP3366017A1 (en) 2018-08-29

Similar Documents

Publication Publication Date Title
EP3821630B1 (en) Method, system, and computer readable medium for validating a visitor location register (vlr) using a signaling system no. 7 (ss7) signal transfer point (stp)
CN115699840B (zh) 用于使用安全边缘保护代理(sepp)来减轻5g漫游安全攻击的方法、系统和计算机可读介质
EP2918094B1 (en) Network monitoring of user equipment events
US10237721B2 (en) Methods, systems, and computer readable media for validating a redirect address in a diameter message
Norrman et al. Protecting IMSI and user privacy in 5G networks
CN112567779A (zh) 用diameter边缘代理为出站漫游订户执行时间距离安全对策的方法、系统和计算机可读介质
CN102415119B (zh) 管理网络中不期望的服务请求
Rao et al. Unblocking stolen mobile devices using SS7-MAP vulnerabilities: Exploiting the relationship between IMEI and IMSI for EIR access
CN103430582B (zh) 防止混合式通信系统中的窃听类型的攻击
JP6567181B2 (ja) 課金詐欺に対する検出方法
Rao et al. Privacy in LTE networks
US20190098133A1 (en) Ims emergency session handling
US11729164B2 (en) Support of IMEI checking for WLAN access to a packet core of a mobile network
Hu et al. Uncovering insecure designs of cellular emergency services (911)
Apostol et al. Improving LTE EPS-AKA using the security request vector
US20240147238A1 (en) Diameter spoofing detection and post-spoofing attack prevention
Chen Domain-specific threat modeling for mobile communication systems
KR101794959B1 (ko) 스마트폰 해킹 방지 시스템
Chen et al. Taming the Insecurity of Cellular Emergency Services (9-1-1): From Vulnerabilities to Secure Designs

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180620

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190318

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190614

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190708

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190730

R150 Certificate of patent or registration of utility model

Ref document number: 6567181

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250