ランサムウェアがユーザーのデータ保護において依然として問題となっている中、携帯電話を狙った詐欺にも注意が必要です。FBIによると、犯罪者はSIMカードスワップ攻撃をエスカレートさせ、被害者の電話番号を乗っ取り、法定通貨や仮想通貨の口座から数百万ドルを盗み出しています。
FBIの報告によると、2018年1月から2020年12月までに、FBIインターネット犯罪苦情センターはSIMスワッピング詐欺に関連する苦情を320件受け、被害総額は1,200万ドルに上ったという。
「大規模なデータ侵害がどのような結果をもたらすのかと人々が疑問に思う時、まさにこれがまさにその答えです」と、Cerberus Sentinelのソリューションアーキテクチャ担当副社長、クリス・クレメンツ氏は述べています。「個人も企業も、社会保障番号や母親の旧姓といった簡単な質問で本人確認ができることに慣れてしまっています。しかし残念ながら、数百万人に影響を与えるデータ侵害が日常的に発生すると、この状況は完全に崩れてしまいます。これまで比較的プライベートなものと考えられていた情報が、悪意のある者の手に渡り、悪意のある者はそれを悪用して被害者になりすますことができるのです。」
SIMスワッピングとは何ですか?
SIMスワッピングとは、悪意のある者が携帯電話事業者を標的にし、ソーシャルエンジニアリング、内部脅威、フィッシングなどの手法を用いて被害者の銀行口座、仮想通貨口座、その他の機密情報にアクセスする詐欺行為です。ソーシャルエンジニアリングとは、犯罪者が携帯電話事業者を騙して被害者の携帯電話番号を犯罪者が所有するSIMカードに切り替えさせることで被害者の携帯電話番号を偽装し、通話、テキストメッセージ、その他のデータにアクセスできるようにすることです。しかし、これは被害者から資金を盗むために用いられる3つの手法のうちの1つにすぎません。
参照: Google Chrome: 知っておくべきセキュリティと UI のヒント(TechRepublic Premium)
内部脅威は、犯罪者が携帯電話会社の従業員に金銭を渡し、被害者のSIMカードを犯罪者が現在所持しているカードに切り替えさせることで発生します。また、悪意のある者はフィッシング詐欺の手法を用いて被害者の機密データにアクセスし、銀行データやPayPal、Venmoなどのサードパーティサービスを通じて被害者から資金を盗み出すこともあります。被害者の携帯電話データへのこのレベルのアクセスにより、悪意のある者はテキストメッセージの認証からSMSベースの二要素認証まで、あらゆる手段に侵入し、被害者の機密情報を悪用することが可能になります。
「サービスプロバイダーは、身元確認の手段を簡略化したものから、より高度なものへと移行する必要があります」とクレメンツ氏は述べた。「各ユーザーアカウントに固有のPINコードは、プロセスのセキュリティを強化する一つの方法であり、『ウォレット外の質問』は、過去3つの自宅住所や車など、漏洩がはるかに困難な情報を確認することで機能します。誰にとっても手間がかかるかもしれませんが、日常的に漏洩している情報に頼って個人の身元を確認することは、もはや現実的ではありません。」
SIMスワップから身を守る
FBIは、携帯電話ユーザーとサービスを提供する企業の両方に対し、個人情報の保護のために追加のセキュリティ対策を講じることを推奨しています。携帯電話ユーザー向けには、以下のヒントを紹介しています。
- ソーシャル メディアの Web サイトやフォーラムで、暗号通貨の所有権や投資を含む金融資産に関する情報を宣伝しないでください。
- アカウントのパスワードやPINを電話で尋ねてきた担当者には、携帯電話番号やアカウント情報を提供しないでください。携帯電話会社のカスタマーサービスに電話をかけて、通話内容を確認してください。
- 携帯電話番号、住所、その他の個人識別情報などの個人情報をオンラインで投稿しないでください。
- オンライン アカウントにアクセスするには、さまざまな固有のパスワードを使用します。
- SMS ベースの接続における変更に注意してください。
- オンライン アカウントにアクセスするには、生体認証、物理的なセキュリティ トークン、スタンドアロン認証アプリケーションなどの強力な多要素認証方法を使用します。
- モバイル デバイスのアプリケーションに簡単にログインできるように、パスワード、ユーザー名、その他の情報を保存しないでください。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
携帯電話事業者に対して、FBI は以下の措置を推奨しています。
- SIM スワッピングについて従業員を教育し、トレーニング セッションを実施します。
- 正式な通信が含まれる受信メール アドレスを注意深く検査し、不正なアドレスが正当なアドレスに見えたり、実際の顧客の名前に似たりする可能性があるわずかな変更がないか確認します。
- 厳格なセキュリティ プロトコルを設定し、従業員が顧客の番号を新しいデバイスに変更する前に顧客の資格情報を効果的に確認できるようにします。
- 顧客情報を要求するサードパーティの認定小売業者からの電話を認証します。
SIMスワップの被害に遭ったと思われる場合、FBIはモバイルユーザーに対し、まず携帯電話会社に直ちに連絡して電話番号を取り戻し、その後、オンラインアカウントにアクセスして機密データを保護するためのパスワードを変更することを推奨しています。また、金融機関に連絡して不審な活動に関する予防的な警告を発することも推奨されます。さらに、疑わしい活動があれば、地元の法執行機関またはFBI支局に報告することも推奨されます。
