SIMスワッピングとは?
加入者識別モジュール(SIM)カードは、携帯電話番号を特定のデバイスに関連付ける物理カードです。 電話番号は特定のSIMカードにリンクされているため、ユーザーはカードをあるデバイスから別のデバイスに移動するだけで、電話を変更またはアップグレードできます。
SIMスワッピング攻撃では、攻撃者は携帯電話のアカウントと電話番号を新しいSIMカードに転送します。 この新しいSIMカードは攻撃者の制御下にあるため、攻撃者はそれをデバイスに挿入し、被害者に向けられたSMSメッセージや電話を送受信できます。
SIMスワッピング攻撃は、被害者とその友人、家族、同僚のセキュリティに大きな影響を与える可能性があります。 SIMスワッピング攻撃の潜在的な影響には、次のようなものがあります。
- MFAバイパス: MFA に SMS メッセージを使用するアカウントの場合、SIM スワッピングにより、攻撃者はアカウント アクセスに使用される 2 番目の要素を制御できます。 攻撃者がアカウントに関連付けられているパスワードを推測したり、リセットリンクをテキストで送信したりできる場合、攻撃者はユーザーのアカウントを乗っ取ることができます。
- ものまね: 金融機関などの一部の組織では、信頼できる電話番号を使用してユーザーの身元を確認します。 たとえば、新しいクレジット カードは、特定の電話からのみ有効になる場合があります。 SIMスワッピング攻撃により、攻撃者は被害者になりすまし、詐欺や盗難の機会が生まれる可能性があります。
- スミッシングとビッシング: SIMスワッピング攻撃の後、攻撃者は被害者の番号から電話をかけたり、テキストを送信したりできます。 これは、スミッシング攻撃やビッシング攻撃で使用され、同僚を騙して機密情報を漏洩させたり、悪意のあるファイルを開かせたりする可能性があります。
SIMスワッピングの仕組みは?
ユーザーのモバイルアカウントは特定のSIMカードにリンクされているため、そのSIMカードを所有することは、そのアカウントを制御することと同等です。 ただし、デバイス(およびSIMカード)の紛失または盗難や電話のアップグレードの可能性があるため、モバイルプロバイダーはアカウントを別のSIMカードに移行することを許可します。
モバイルアカウントを新しいSIMカードに転送する前に、携帯電話プロバイダーはいくつかの本人確認を実行する必要があります。 これには、運転免許証の提示、アカウントの暗証番号、所有者の社会保障番号(SSN)の下4桁、またはその他の個人情報の要求が含まれる場合があります。
However, sometimes this verification is not performed by a trained specialist. A story about forgetting the account PIN number and asking for an alternative form of verification is likely to succeed. Since the last four digits of a person’s SSN, their past addresses, and other identifying information have likely been leaked in a data breach, the attacker can presumably answer the question and successfully authenticate as the user.
After identity verification, the mobile provider will swap the victim’s account over to a new SIM card. Once the attacker has inserted this card into their mobile phone, they now own the victim’s phone number.
スワップされたかどうかはどうすればわかりますか?
SIMスワッピング攻撃の後、被害者の電話番号が攻撃者に転送されます。 これは、その番号への電話やテキストを受信しなくなることを意味します。
この通話やテキストメッセージの欠如が攻撃を明らかにするのに十分でない場合は、変更されたアカウントに関する電子メールに基づいてSIMスワッピング攻撃が検出される可能性があります。 攻撃者は、交換されたSIMを利用してMFAをバイパスし、オンラインアカウントのパスワードをリセットする可能性が高く、これらのアカウントは電子メールで通知を送信する可能性があります。
SIMスワッピングを防ぐ方法
モバイルプロバイダーは、SIMスワッピング攻撃に対する保護を実施している場合があります。 これらの攻撃から保護する最善の方法は、プロバイダーに電話して、利用可能なソリューションや既に実施されているソリューションを尋ねることです。 多くの場合、アカウントの変更に必要なPINを設定できます。
Beyond protecting against the SIM swapping attack itself, it is also possible to mitigate the effects of these attacks. Some ways to do so include:
- 代替 MFA: SMS-based MFA has many security issues that are not limited to its vulnerability to SIM swapping attacks. When possible, choose an MFA option that does not rely on SMS messages.
- より強力なパスワード: SIMスワッピングは、攻撃者がSMS経由で送信されたワンタイムコードを傍受するのに役立つだけです。 ランダムで一意のパスワードを使用すると、攻撃者がワンタイムコードを持っていてもアカウントを侵害することが難しくなります。
- 安全なソーシャルメディア: SIMスワッピング攻撃中に尋ねられた質問に対する回答は、ソーシャルメディアで公開される可能性があります。 ソーシャル メディアの共有設定をロックダウンし、オンラインで公開される公開情報を制限します。
Feedback