SIMスワッピング攻撃急増でFBIが警告

2021年にSIMスワッピング被害が急増

FBI（Federal Bureau of Investigation=米国連邦捜査局）が、スマートフォンのSIMスワッピングを使用して被害者をだまし取るスワッピング詐欺の大幅な増加について警告していることが分かった。

SIMスワッピング被害は、2021年に報告されたケースとの前年比で大幅に増加。被害相談が急増したため、FBIはそれに関する新しいアラートを発行している。このSIMは、スマートフォンにとり、サインインコードにSMSを使用する銀行などのオンラインサービスを認証するために重要なツールであり、SIMスワッピング攻撃増加は深刻な問題である。攻撃者側がこれらのサービスを制御できる場合、被害者の銀行、電子メール、ソーシャルメディア、銀行口座などにアクセスが可能だ。2018年1月から2020年12月まで、FBIはSIM交換事件に関連する320件の苦情および被害報告を受け取っており、被害額は約1,200万ドル（約14億円）に上る。さらに、2021年には6,800万ドル（約78億円）以上の損失を伴う1,611件の苦情を受けた事でFBIは警告に踏み切っている。

詐欺師は、モバイルネットワーク事業者のコールセンターに電話をかけ、顧客になりすまして新しいSIMカードを入手することにより、サポートサービスを悪用する。被害者は、新しいSIMカードが自分の電話番号に接続されていることを知らない。また、これによって攻撃者は必要なアクセス権を得られ、FBIは次のように警告している。

SIMが交換されると、被害者の通話、テキスト、その他のデータが犯罪者のデバイスに転送されます。このアクセスにより、犯罪者は「パスワードを忘れた」または「アカウントの回復」リクエストを被害者のメールやその他のオンラインアカウントに送信できます。

SIMスワップの脅威から身を守る方法とは

セキュリティを向上させるために、多くの組織では、アカウント所有者がデバイスを制御していると想定されているため、多要素認証の形式としてSMSメッセージを使用している。

SMSを介して配信されるコードは、採用率が高く、侵害される可能性のあるパスワードに依存するよりもSMSの方が優れているという信念があるため便利だ。SIMスワッピングは、詐欺師がこのセキュリティを回避するための1つの策である。Microsoftなどが主張しているように、SMSは、オンラインアカウントに認証するためのコードを配信するための、安全で信頼性の低い方法であり、Microsoftはアプリが危険にさらされるのが難しい事を理由に、Authenticatorなどのアプリを使用することを望んでいる。

FBIは、攻撃者が不正な目的のためにモバイルネットワーク事業者の従業員をだますだけでなく誘惑する多くの方法を詳述。犯罪者は主に、ソーシャルエンジニアリング、内部脅威、フィッシング技術を使用してSIMスワップスキームを実行すると指摘している。内部脅威を使用してSIMスワップスキームを実行する犯罪者は、携帯電話会社の従業員を報い、被害者の携帯電話番号を犯罪者が所有するSIMカードに切り替える。さらに、フィッシング技術を使用して、携帯電話会社のシステムをハッキングするために使用されるマルウェアをダウンロードするようにしたうえでSIMスワップを実行するという。FBIでは、これらに脅威から身を守るためのヒントを公表している。