SIMスワッピングとは|サイバーセキュリティ.com

SIMスワッピング|サイバーセキュリティ.com

SIMスワッピング

SIMスワッピングとは、攻撃者がターゲットの携帯電話番号に紐づけられたSIMカードの制御を乗っ取る攻撃手法です。

これにより、攻撃者は被害者の電話番号を自身が管理する別のSIMカードに移行し、SMSを介した二要素認証(2FA)や通話を不正に受信することが可能となります。

SIMスワッピングは、銀行口座やオンラインサービスの不正アクセスを目的とした詐欺行為や、個人情報の窃取などに悪用されるケースが多く、深刻なセキュリティリスクを引き起こす可能性があります。

SIMスワッピングの仕組み

SIMスワッピング攻撃は、主に次のような手順で行われます。

攻撃者による個人情報の収集

まず、攻撃者はターゲットの個人情報を収集します。これには、名前、住所、電話番号、誕生日、さらにはソーシャルメディアから収集した情報などが含まれます。この情報は、攻撃者が携帯電話会社に対して正当なユーザーになりすまして連絡を取る際に使用されます。

携帯電話会社へのなりすまし

攻撃者は、ターゲットの携帯電話会社に連絡し、本人になりすましてSIMカードの交換を要求します。これは「SIM交換」として通常のサポート手続きの一環で行われます。攻撃者は、収集した個人情報を活用して、本人確認を通過しようとします。

新しいSIMカードの有効化

攻撃者が携帯電話会社の本人確認を通過すると、ターゲットの電話番号が攻撃者の管理する新しいSIMカードに移行されます。これにより、攻撃者はターゲットの電話番号に送信されるSMSや通話をすべて受信できるようになります。

二要素認証(2FA)やパスワードリセットの悪用

電話番号を乗っ取った攻撃者は、ターゲットが使用しているオンラインアカウントに不正アクセスを試みます。例えば、SMSによる二要素認証を突破したり、パスワードリセットを要求して攻撃者が受け取るOTP(ワンタイムパスワード)を使用してアカウントにアクセスすることが可能です。このようにして、銀行口座やメールアカウントなどを乗っ取ることができます。

SIMスワッピングの被害例

SIMスワッピングは、著名な個人や企業をターゲットにした大規模な攻撃で報告されています。これにより、多額の金銭的被害やプライバシーの侵害が発生しています。

仮想通貨の盗難

SIMスワッピングは、仮想通貨の保有者を狙った攻撃において特に注目されています。攻撃者は、被害者の取引所アカウントにアクセスし、二要素認証を突破して仮想通貨を不正に送金するケースが多く報告されています。

個人情報の漏洩やなりすまし

個人のメールアカウントやソーシャルメディアアカウントを乗っ取ることで、被害者のプライバシーが侵害されるケースもあります。攻撃者は、ターゲットの連絡先に対して偽のメッセージを送信したり、金銭を詐取するなどのなりすまし行為を行います。

SIMスワッピングの対策

SIMスワッピングの被害を防ぐために、次のような対策が有効です。

携帯電話会社のセキュリティ設定を強化

携帯電話会社が提供する追加のセキュリティ機能を有効にすることが重要です。例えば、PINコードやパスワードによる追加の本人確認手続きを設定することで、攻撃者が簡単にSIMスワップを行えないようにすることができます。

二要素認証の見直し

SMSを利用した二要素認証は、SIMスワッピング攻撃に対して脆弱であるため、他の方法(例えば、認証アプリやハードウェアトークン)を使用することを検討しましょう。これにより、電話番号の乗っ取りによる認証突破のリスクを軽減できます。

個人情報の保護

ソーシャルメディアやインターネット上で公開される個人情報に注意を払い、攻撃者が容易に情報を収集できないようにすることも重要です。特に、個人情報を公開する範囲を最小限に抑えることで、なりすましのリスクを軽減できます。

まとめ

SIMスワッピングは、攻撃者がターゲットの電話番号を乗っ取ることで、オンラインアカウントや金融サービスを不正に利用する攻撃手法です。被害を防ぐためには、携帯電話会社のセキュリティ設定の強化や二要素認証の見直し、個人情報の管理に注意を払うことが求められます。これにより、SIMスワッピングによる不正アクセスや金銭的被害を未然に防ぐことが可能です。


SNSでもご購読できます。