2024 年 06 月 03 日 Sam Manjarres 著

SIM スワッピングは何年も前から存在する手法ですが、最初に登場した時期を正確に特定するのは容易ではありません。ENISA の報告書によると、2016 年 4 月、英国のメディアがこの手口を使った銀行口座盗難事件を報じています。米国では、大規模な SIM スワッピングの事例が初めて文書化されたのは、2018 年のジョエル・オルティスによる事件でした。オルティスは 40 人の被害者から 500 万ドル以上の暗号通貨を盗んだ罪を認め、この犯罪で有罪判決を受けた最初の人物となりました。

かなり以前から知られている脅威でありながら、SIM スワッピングは依然としてサイバーセキュリティ業界における現在進行形の脅威です。しかし、多くの企業では、認証方法としての SMS が、その脆弱性がすでに知られているにもかかわらず、導入のしやすさを理由に、使用され続けています。このテキストメッセージングサービスは、世界中のほぼすべての携帯電話事業者が提供している標準機能です。スマートフォンを持っている必要がなく、ほとんどの基本的な携帯電話も SMS をサポートしているため、この形式の認証が最も利用しやすくなっています。

SIMスワッピングの仕組み

SIM スワッピングはサイバー攻撃の一種で、携帯電話を制御してオンラインアカウントにアクセスしようとするものです。他の脅威とは異なり、この攻撃は SMS や電話で送信される認証コードという共通の認証要素に重点を置いています。その仕組みは以下です。

• サイバー犯罪者が携帯電話番号を入手。攻撃者は、マルウェアやフィッシング、あるいはダークウェブでの購入など、いくつかのテクニックを駆使して番号を入手します。
• ユーザになりすまし、携帯電話会社と連絡を取る。被害者の番号で新しい SIM カードをアクティベートするよう、オペレータを説得します。
• 新しい SIM カードがアクティベートされたら、認証メッセージ（OTP）と 2FA コードを傍受する。これらのコードを使って、会社の電子メールなど、被害者のオンラインアカウントにアクセスすることができます。

攻撃者は上記のような様々な手法で電話番号を入手していますが、最近ではより巧妙な手口も報告されています。例えば米国では、攻撃者が T-Mobile の従業員の連絡先リストにアクセスし、賄賂を提供して SIM スワップを行うというケースが検出されています。昨年 8 月には、ある金融サービスプロバイダが、同様の攻撃について警告していました。会社や従業員が気づかないうちに従業員の T-Mobile アカウントが侵害されていました。攻撃者は BlockFi、FTX、Genesis の顧客に関する個人情報を含むファイルにアクセスしました。

この特定の事件に贈収賄が関与していたかどうかは確認されていませんが、サイバー犯罪者が攻撃を仕掛けやすくなっていることは確かです。

従業員や顧客の安全を守るには

企業の規模にかかわらず、あるいは顧客を保護するマネージドサービスプロバイダ（MSP）であっても、多要素認証（MFA）は、もはやオプションではなく、必要不可欠です。パスワードや SMS コードのような従来の認証方法のみに依存している場合、SIM スワッピング攻撃にさらされる危険性があります。

プッシュ通知または QR コードによる安全な認証、またモバイルデバイス DNA に基づく追加認証要素を組み合わせた堅牢な MFA ソリューションを実装することで、従業員やユーザ（MSP の場合）を確実に保護できます。このような保護を追加することで、攻撃者がユーザデバイスの偽装を行っても、デバイスの DNA が一致せずブロックされるため、アカウントにアクセスすることができなくなります。

ID を利用した攻撃から保護する方法について、さらに詳しくお読みになりたい場合は、以下の記事をご覧ください。

脆弱な認証を狙った攻撃： 調査対象者の約半数が高コストを指摘
ビジネスにおけるアクセス管理方法の見直し
Total Identity Security を最大限に活用