スワップを阻止せよ:SIMスワップ詐欺から端末を守るには
2023年1月5日、Doug Bonderud
SIMスワップ攻撃が急増しています。FBIが公表したデータによると、2021年には1,600件以上のSIMスワップ報告があり、被害総額は6,800万ドルに上りました。
そもそも、SIMスワップ攻撃とは何でしょうか。どのように起こり、ユーザーの脆弱性がどこにあり、スワップを阻止するためにどのような手段を講じればよいのでしょうか。
エサで釣って切り替えさせる:SIMスワップとは?
スマートフォンには、SIM(Subscriber Identity Module)が搭載されています。この小さなチップは、物理的なデバイスとユーザーのアカウントを結びつけるポータブルなメモリーストレージユニットとして機能します。SIMは取り外したり、交換したりすることができます。例えば、ユーザーは古いデバイスから新しい携帯電話にSIMカードを移動させるだけで、セットアップを簡単に済ませることができるのです。
サイバー犯罪者にとっては、この物理的な操作が不正なSIMスワップの絶好の機会となるのです。
その仕組みはというと、攻撃者はまずソーシャルエンジニアリングを通してユーザーに関する情報を手に入れます。この情報を使って、アカウント所有者になりすましてモバイルプロバイダーに連絡します。そして、現在使用している端末を紛失または破損した、あるいは新しい端末にアップグレードすると伝えて、モバイルキャリアにユーザーアカウント情報を新しいSIMカードと新しい携帯電話にリンクするよう依頼します。
こうしてモバイルアカウントへのフルアクセスを手にすると、攻撃者は被害者のテキストや電子メールの連絡先リストにまでソーシャルエンジニアリング活動を拡大できるようになります。また、銀行口座や電子商取引口座が携帯電話番号とリンクしている場合、これらの口座を直接侵害できることになります。
SIMスワッピングの現状
SIMスワッピングの量と被害額の両方が増加しています。SIM詐欺師ニコラス・トルグリアは最近、SIMスワップ攻撃を通して2000万ドル以上の暗号資産を盗み、18カ月の実刑判決を受けました。急速な勢いで、これが一般的な脅威のベクトルになりつつあります。攻撃者がモバイルプロバイダーにアカウントデータを新しいSIMに移すよう説得し、そのアカウントが暗号資産プラットフォームと結びついていれば、大量の仮想通貨を素早く移動させられます。さらなる不安要因は、暗号資産の取引が一方通行で1回限りであることです。つまり、SIMスワッピングが発覚しても、元に戻してユーザーに「返金」されることはないのです。
では、なぜSIMスワッピングが増加しているのでしょうか。攻撃者にとっての最大のメリットは、メッセージベースの多要素認証(MFA)をバイパスできることです。パスワードの解読は犯罪者にとって簡単なことですが、MFAの登場で犯罪者は苦労を強いられてきました。しかしSIMスワッピングならば、悪意のある行為者が正規のユーザーになりすまし、そのモバイルアカウントとデバイスを完全にコントロールすることで認証を回避することができるのです。
スワップを阻止せよ:安全を確保する3つの方法
では、モバイルユーザーはどうするとよいのでしょうか。ギリギリになるまで被害に遭っていることに気づかなかったとしても、どうすればSIMスワッピングのリスクを減らせるのでしょうか
SIMスワップのリスクを抑えるには、3つの戦術が有効です。
限定的な情報共有
オンライン上で利用可能な個人情報が少なければ少ないほど、攻撃者が効果的にユーザーになりすますことは難しくなります。つまり、個人情報を非公開とし、ソーシャルメディアのプライバシー設定をゆるいものではなく、限定的なものにすることが重要です。
パスワードプロセスの改善
パスワードは完璧なものではありませんが、適切に使用することで一定の保護効果を発揮します。個人の場合は、定期的にパスワードを変更し、決してパスワードを再利用しないことが重要です。企業の場合は、パスワードの長さや文字の種類、定期的な変更などに関するルールを徹底することです。
高度な認証方式
SIMスワップはテキストベースのMFAを回避できますが、物理的なトークンや生体スキャンを使用して本人確認を行う多要素方式に対してはあまり効果がありません。こうした認証方式でもスワップを完全に阻止することはできないかもしれませんが、攻撃が進行していることを早い段階で警告する役割を果たします。
結論として、 SIMスワップは増加しています。攻撃者はソーシャルエンジニアリングを活用して、デバイスへの完全なアクセスを手に入れるからです。SIMスワップを阻止するには、ユーザーがオンラインで共有する情報量を減らし、パスワードの有効性を高め、追加認証を導入することです。
よくある質問
SIMスワップ 対策にはどのような方法がありますか?
SIMスワップ詐欺を防ぐための有効な方法は、以下のとおりです:
1. 個人情報の管理:フィッシング攻撃を防ぐために、不審なリンクやメールを開かないこと。また、オンラインで公開する個人情報を最小限にすることが重要です( ESET_Info Canon-Its )
2. 多要素認証の強化:BarracudaのCloudGen Accessは、物理的なトークンや生体認証を使って二要素認証を強化し、SMSに頼らない安全な認証手段を提供します。これにより、攻撃者がSIMスワップを行ってもアカウントへの不正アクセスが難しくなりま。
3. モバイルキャリアへの追加確認:携帯電話会社に、SIM変更時により厳格な確認手続きを導入してもらうことを検討してください。Barracudaのソリューションを併用することで、これらの脅威からの保護が強化されます。
SIMスワップ詐欺 とは何ですか?
SIMスワップ詐欺は、攻撃者が携帯キャリアを通じてSIMカードを再発行させ、被害者の電話番号を自分のデバイスに割り当てる手口です。この詐欺では、SMS認証コードを乗っ取ることで、銀行口座や暗号資産アカウントなどに不正アクセスします。BarracudaのCloudGen Accessは、SMS認証に頼らず、より安全なアクセス制御を実現し、この種の攻撃からユーザーを守ります。
携帯キャリアにおけるSIMスワップの対策は?
ドコモの場合、SIMカードの再発行時に厳格な本人確認を行い、SIMスワップ詐欺を防ぐための対策を実施しています。また、BarracudaのCloudGen Accessは、ドコモユーザーがSIMスワップ攻撃を受けた際にも、追加のセキュリティ層を提供し、不正アクセスからアカウントを守ることができます。
原文はこちら
Stop the swap: How to secure devices against SIM swapping fraud
Jan. 5, 2023 Doug Bonderud
https://blog.barracuda.com/2023/01/05/sim-swapping-fraud/