多要素認証(MFA)の成長に伴い、スマートフォンは組織のサイバーセキュリティリスク管理戦略の重要な部分になっています。 MFAを実装する最も一般的な方法の1つは、SMSを介してスマートフォンにワンタイムコードを送信することです。
SIMスワッピング攻撃は、SMSベースのMFAシステムに深刻な脅威をもたらし、 モバイルセキュリティ特に、リモートワークやBYOD(Bring Your Own Device)ポリシーの増加に伴い、 攻撃者は、ユーザーの電話番号を盗むことで、ユーザーのIDの信頼できる部分にアクセスします。
加入者識別モジュール(SIM)カードは、携帯電話番号を特定のデバイスに関連付ける物理カードです。 電話番号は特定のSIMカードにリンクされているため、ユーザーはカードをあるデバイスから別のデバイスに移動するだけで、電話を変更またはアップグレードできます。
SIMスワッピング攻撃では、攻撃者は携帯電話のアカウントと電話番号を新しいSIMカードに転送します。 この新しいSIMカードは攻撃者の制御下にあるため、攻撃者はそれをデバイスに挿入し、被害者に向けられたSMSメッセージや電話を送受信できます。
SIMスワッピング攻撃は、被害者とその友人、家族、同僚のセキュリティに大きな影響を与える可能性があります。 SIMスワッピング攻撃の潜在的な影響には、次のようなものがあります。
ユーザーのモバイルアカウントは特定のSIMカードにリンクされているため、そのSIMカードを所有することは、そのアカウントを制御することと同等です。 ただし、デバイス(およびSIMカード)の紛失または盗難や電話のアップグレードの可能性があるため、モバイルプロバイダーはアカウントを別のSIMカードに移行することを許可します。
モバイルアカウントを新しいSIMカードに転送する前に、携帯電話プロバイダーはいくつかの本人確認を実行する必要があります。 これには、運転免許証の提示、アカウントの暗証番号、所有者の社会保障番号(SSN)の下4桁、またはその他の個人情報の要求が含まれる場合があります。
However, sometimes this verification is not performed by a trained specialist. A story about forgetting the account PIN number and asking for an alternative form of verification is likely to succeed. Since the last four digits of a person’s SSN, their past addresses, and other identifying information have likely been leaked in a data breach, the attacker can presumably answer the question and successfully authenticate as the user.
After identity verification, the mobile provider will swap the victim’s account over to a new SIM card. Once the attacker has inserted this card into their mobile phone, they now own the victim’s phone number.
SIMスワッピング攻撃の後、被害者の電話番号が攻撃者に転送されます。 これは、その番号への電話やテキストを受信しなくなることを意味します。
この通話やテキストメッセージの欠如が攻撃を明らかにするのに十分でない場合は、変更されたアカウントに関する電子メールに基づいてSIMスワッピング攻撃が検出される可能性があります。 攻撃者は、交換されたSIMを利用してMFAをバイパスし、オンラインアカウントのパスワードをリセットする可能性が高く、これらのアカウントは電子メールで通知を送信する可能性があります。
モバイルプロバイダーは、SIMスワッピング攻撃に対する保護を実施している場合があります。 これらの攻撃から保護する最善の方法は、プロバイダーに電話して、利用可能なソリューションや既に実施されているソリューションを尋ねることです。 多くの場合、アカウントの変更に必要なPINを設定できます。
Beyond protecting against the SIM swapping attack itself, it is also possible to mitigate the effects of these attacks. Some ways to do so include:
SIMスワッピングは 数ある脅威の1つ 個人的および職業的 モバイル・デバイス・セキュリティ.モバイル脅威の現状の詳細については、チェック・ポイントの Mobile Security Report.
モバイルセキュリティソリューションは、組織のモバイルデバイスに対するリスクを軽減するのに役立ちます。 このソリューションで何を探すべきかを見つけてください Buyer’s Guide to Mobile Security.そうしたら 無料トライアルに申し込む チェック・ポイントの Harmony Mobile to learn how it can protect your organization’s mobile devices.