メインコンテンツにスキップ

ソーシャルエンジニアリングからあなたのワークスペースを守る

対応者:Penny Gray

ソーシャルエンジニアリングは、攻撃者が人々を操作してアクセス権や機密情報を渡させる手法です。顧客サポートの場面では、正当なユーザーを装いアカウントにアクセスできないふりをすることがあります。

優れた認証方法があっても、これらのケースを完全に防ぐのは難しいため、チームのトレーニングとワークスペースの防御的な設定が重要です。

このガイドでは、Intercomの機能を使ってリスクを減らし、会話が疑わしい場合にチームが効果的に対応できる方法を説明します。

1️⃣ Messengerを安全に保つ

Intercomをログインしたusers向けに使用している場合は、常にJSON Web Token(JWT)でusersを認証すべきです。これによりMessengerは本物の認証済みセッションのusersにのみ起動します。JWTが有効でなければ、他のusersとして会話を始めるなどのなりすましは失敗します。詳細は次をご覧ください:Authenticating users in the Messenger with JSON web tokens (JWTs)

Messengerが安全な状態かどうかはMessengerのセキュリティ設定で確認してください。

これはuser_idを持つusersにのみ有効です。疑わしいleadの会話からチームを守る方法については読み進めてください。

LeadsとUsersの区別

Inboxで会話を見るとき:

  • Leadsはログアウト状態で会話を始める人々です。通常、識別情報がほとんどまたは全くありません。

  • Usersはログインして認証されているか、会話中に認証された人々です。

LeadsとusersはInboxのサイドパネルで識別されます。どのように識別されているかを知ることは役立ちます。以下はメールアドレスを入力せずにMessengerで会話を始めたleadの例です:

以下はMessengerにメールアドレスを入力した後の同じleadです。

ℹ️ IntercomはMessengerに提供されたメールアドレスがleadの所有であることを確認しません。

usersがログインしている場合は、代わりにuserとして表示されます。

leadとして会話を始めた後、同じブラウザでusersがログインすると、スクリーンショットのようにuserにアップグレードされます。

Leadsとusersの違いについての詳細は次をご覧ください:How do visitors, leads and users work in Intercom?

ユーザーとleadの統合については次をご覧ください:Merge lead and user profiles

識別情報を収集する自動化を設定する

AutomationsとWorkflowsはIntercomをプロセスに合わせて設定する非常に強力な方法です。lead、user、またはメッセージ内容に応じて特定のアクションを取ることができます。

Simple Automationsを使って、Intercomを次のように設定できます:

  • チャットを始める前にleadにメールアドレスの提供を求める

  • 名前、会社、アカウントIDなどの追加情報を求める

  • それらのチャットを特定のinboxやチームに割り当てて追加のレビューを行う

リスクのあるシナリオに合わせたワークフローを構築する

会話を始める人によって異なる対応をするワークフローを作成できます。

  • 🟡 ただ閲覧しているだけですか? 軽い質問をしたりセルフサービスコンテンツに案内したりします。

  • 🔁 ログインを忘れた本物のuserですか? ログインを促し、メールを確認します。

  • 🚨 アカウントにロックされている本物のuserですか? データ確認、チームメイトへのメモ、明確な返信時間の期待を含む安全なフローに案内します。

Finを次のように設定できます:

  • 続行前にleadにログインを求める

  • アカウント回復オプションを提供する(例:「ロックアウトされました」ボタン)

  • 必要に応じて人間にエスカレーションし、会話に明確なタグを付けてチームメイトが注意するようにします。

こちらはLeads向けのワークフロー設定例です。この場合、上記の3つのシナリオすべてを考慮しています:

別々のinboxとビューを持つ

追加の保護のために、認証されていないleadsとの会話を別のinboxに分けることもできます。そうすることで、そのinbox内のすべてがより注意を要することが明確になります。

これはTeam Inboxesで実現できます。Organise team inboxesをご覧ください。

ソーシャルエンジニアリングに対して警戒を続ける

最高の自動化があっても、人間のエージェントが重要な役割を果たします。

チームを次のように準備しましょう:

  • アカウント変更前に常にuserの詳細を確認するようトレーニングする

  • 一致するuserレコード、メールアドレス、ログイン履歴を確認するよう促す

  • 疑わしい点を内部で伝えるために内部メモタグを追加する

よくある質問

Messengerに入力されたメールアドレスがleadの所有であることをどうやって確認できますか?

現在、Messengerに入力されたメールアドレスを確認する機能はありません。この機能をご希望の場合は、サポートチームにリクエストを送ってください。その間は、leadにサインアップやログインを促すか、会話をより慎重に扱うワークフローを設定することをお勧めします。

とはいえ、他の場所でこの機能がある場合はデータコネクターを使ってアドレスを確認することも可能です。

関連記事
GDPRのためにIntercomデータをエクスポートする方法
チャットしながらleadsを手動で資格付けする
シンプルな自動化の説明
本人確認とは?【廃止】
ユーザーまたはリードをアーカイブする方法
こちらの回答で解決しましたか?