スワップを阻止せよ:SIMスワップ詐欺から端末を守るには
2023年1月5日、Doug Bonderud
SIMスワップ攻撃が急増しています。FBIが公表したデータによると、2021年には1,600件以上のSIMスワップ報告があり、被害総額は6,800万ドルに上りました。
そもそも、SIMスワップ攻撃とは何でしょうか。どのように起こり、ユーザーの脆弱性がどこにあり、スワップを阻止するためにどのような手段を講じればよいのでしょうか。
エサで釣って切り替えさせる:SIMスワップとは?
スマートフォンには、SIM(Subscriber Identity Module)が搭載されています。この小さなチップは、物理的なデバイスとユーザーのアカウントを結びつけるポータブルなメモリーストレージユニットとして機能します。SIMは取り外したり、交換したりすることができます。例えば、ユーザーは古いデバイスから新しい携帯電話にSIMカードを移動させるだけで、セットアップを簡単に済ませることができるのです。
サイバー犯罪者にとっては、この物理的な操作が不正なSIMスワップの絶好の機会となるのです。
その仕組みはというと、攻撃者はまずソーシャルエンジニアリングを通してユーザーに関する情報を手に入れます。この情報を使って、アカウント所有者になりすましてモバイルプロバイダーに連絡します。そして、現在使用している端末を紛失または破損した、あるいは新しい端末にアップグレードすると伝えて、モバイルキャリアにユーザーアカウント情報を新しいSIMカードと新しい携帯電話にリンクするよう依頼します。
こうしてモバイルアカウントへのフルアクセスを手にすると、攻撃者は被害者のテキストや電子メールの連絡先リストにまでソーシャルエンジニアリング活動を拡大できるようになります。また、銀行口座や電子商取引口座が携帯電話番号とリンクしている場合、これらの口座を直接侵害できることになります。
SIMスワッピングの現状
SIMスワッピングの量と被害額の両方が増加しています。SIM詐欺師ニコラス・トルグリアは最近、SIMスワップ攻撃を通して2000万ドル以上の暗号資産を盗み、18カ月の実刑判決を受けました。急速な勢いで、これが一般的な脅威のベクトルになりつつあります。攻撃者がモバイルプロバイダーにアカウントデータを新しいSIMに移すよう説得し、そのアカウントが暗号資産プラットフォームと結びついていれば、大量の仮想通貨を素早く移動させられます。さらなる不安要因は、暗号資産の取引が一方通行で1回限りであることです。つまり、SIMスワッピングが発覚しても、元に戻してユーザーに「返金」されることはないのです。
では、なぜSIMスワッピングが増加しているのでしょうか。攻撃者にとっての最大のメリットは、メッセージベースの多要素認証(MFA)をバイパスできることです。パスワードの解読は犯罪者にとって簡単なことですが、MFAの登場で犯罪者は苦労を強いられてきました。しかしSIMスワッピングならば、悪意のある行為者が正規のユーザーになりすまし、そのモバイルアカウントとデバイスを完全にコントロールすることで認証を回避することができるのです。
スワップを阻止せよ:安全を確保する3つの方法
では、モバイルユーザーはどうするとよいのでしょうか。ギリギリになるまで被害に遭っていることに気づかなかったとしても、どうすればSIMスワッピングのリスクを減らせるのでしょうか
SIMスワップのリスクを抑えるには、3つの戦術が有効です。
限定的な情報共有
オンライン上で利用可能な個人情報が少なければ少ないほど、攻撃者が効果的にユーザーになりすますことは難しくなります。つまり、個人情報を非公開とし、ソーシャルメディアのプライバシー設定をゆるいものではなく、限定的なものにすることが重要です。
パスワードプロセスの改善
パスワードは完璧なものではありませんが、適切に使用することで一定の保護効果を発揮します。個人の場合は、定期的にパスワードを変更し、決してパスワードを再利用しないことが重要です。企業の場合は、パスワードの長さや文字の種類、定期的な変更などに関するルールを徹底することです。
高度な認証方式
SIMスワップはテキストベースのMFAを回避できますが、物理的なトークンや生体スキャンを使用して本人確認を行う多要素方式に対してはあまり効果がありません。こうした認証方式でもスワップを完全に阻止することはできないかもしれませんが、攻撃が進行していることを早い段階で警告する役割を果たします。
結論として、 SIMスワップは増加しています。攻撃者はソーシャルエンジニアリングを活用して、デバイスへの完全なアクセスを手に入れるからです。SIMスワップを阻止するには、ユーザーがオンラインで共有する情報量を減らし、パスワードの有効性を高め、追加認証を導入することです。
原文はこちら
Stop the swap: How to secure devices against SIM swapping fraud
Jan. 5, 2023 Doug Bonderud
https://blog.barracuda.com/2023/01/05/sim-swapping-fraud/
No comments yet.