FBI による SIM スワッピング撃退法:手口の分析と影響の整理

FBI Issues a Lookout for SIM Swapping Attacks

2022/02/15 CISOMAG — FBI は、SIM スワッピング攻撃を利用するサイバー犯罪者が、米国市民から数百万ドルを盗んでいると述べた。最近の傾向として、被害者の仮想通貨口座を侵害し、お金を盗む SIM スワッピング・アカウントが増加していることを、FBI は明らかにした。2018年1月〜2020年12月の間で、FBI Internet Crime Complaint Center (IC3) は、320件の SIM スワッピング・インシデントに関連する苦情を受け、約 $12 million の損失額を算出した。そして、2021年の IC3 は、1,611件の SIM スワッピング関連の苦情を受け、$68 million 以上の損失額を算出している。

SIM スワッピング攻撃とは?

SIM スワッピング攻撃は、サイバー犯罪者がユーザーの 2FA 保護を回避するための、最も単純な方法の1つである。SIM スワッピング攻撃では、攻撃者はサービス・プロバイダに電話をかけ、被害者の電話番号を攻撃者が管理する SIM カードに変更するように仕向ける。これにより、攻撃者はパスワードをリセットし、被害者の機密データにアクセスすることが可能となる。

SIM スワッピング攻撃を防ぐには

FBI は、SIM スワッピングの脅威を回避するために、以下のようなセキュリティ上の注意事項に従うことを、ユーザーに推奨している。

  • ソーシャルメディア・サイトやフォーラムで、暗号通貨の所有や投資を含む金融資産に関する情報に言及しないこと。
  • アカウントのパスワードやピンを要求する担当者に対して、電話で携帯電話番号のアカウント情報を提供しない。そのようなときには、携帯電話会社の顧客サービスラインに電話をかけて確認する。
  • 携帯電話番号や住所などの、個人情報をオンラインで公開しない。
  • オンライン・アカウントへのアクセスには、それぞれに固有のパスワードを使用する。
  • SMS ベースの接続方法が変更された場合には、注意を払う。
  • オンライン・アカウントへのアクセスには、バイオメトリクス/物理的セキュリティトークン/スタンドアロン認証アプリなどの、強力な多要素認証手段を使用する。
  • パスワード/ユーザー名などの、簡単なログインのための情報を、モバイル・デバイスのアプリに保存しない。

    移動体通信事業者のための注意事項
  • 従業員に対する SIM スワッピングに関する教育/研修の実施。
  • 正規の通信を含む受信メールアドレスを注意深くチェックし、わずかな違いで実際の顧客の名前を装うものを確認する。
  • 厳格なセキュリティ・プロトコルを設定し、従業員が顧客の番号を新しいデバイスに変更する前に、顧客の認証情報を効果的に確認できるようにする。
  • 第三者である正規販売店からの、顧客情報を要求する電話に対して認証をかける。

    被害者からの報告方法

    SIM スワッピングの被害に遭ったと思われる場合には、直ちに携帯電話会社に連絡してほしい。
  • すぐに携帯電話会社に連絡し、電話番号の管理を犯罪者から取り戻す。
  • オンライン・アカウントにアクセスし、パスワードを変更する。
  • 金融機関に連絡して、不審なログインの試みや取引があった場合は、口座に警告を出すようにしてもらう。
  • 不審な行動に関する情報は、地元の警察やFBIに報告してほしい (連絡先は http://www.fbi.gov/contact-us/field-offices)。
  • FBI の Internet Crime Complaint Center (www.ic3.gov) に活動を報告する。

MFA や 2FA などの認証において、SIM がキーとして使われるにつれて、その大元を狙う SIM スワッピング攻撃が増えてくるのは、当然の成り行きだと思えます。だからこそ、ここはシッカリと護らなければなりませんが、どちらかというと、ユーザー側よりも、SIM を発行管理するプラバイダー側の問題なのでしょう。ユーザー側として行うべきことは、もしプロバイダーからのメールがあっても、そこに添付された URL などはクリックせずに、Web のトップページから自分でたどっていって、メッセージなどを確認することだと思います。これは、オンライン・バンキングなどの、大切なアカウントにも言えることです。関連情報として、2月3日にポストした「多要素認証 (MFA) の第2ラウンド:脅威アクターはリバースプロキシ・キットで対抗」も、よろしければ ご参照ください。

%d bloggers like this: