自分自身が申請した覚えのないコードが記載されたテキストメッセージを受け取ったことはありませんか?もしかすると、銀行口座やソーシャルメディアのプロフィールにログインするためのものかもしれません。もしそうであれば、あなたはSIMスワップ詐欺の標的になっている可能性があります。
本記事では、SIMスワップとは何か、どのような仕組みなのか、そして最近ますます増えているこの脅威から身を守るにはどうすればいいのかについて解説します。
以下は、SIM スワップについて押さえておくべき重要なポイントです。
-
SIMスワップとは、犯罪者が他人の電話番号を新しいSIMカードに移し替えて管理する詐欺である。
-
キャリアを騙して乗り換えさせるのに、ソーシャルエンジニアリングやフィッシングがよく使われる。
-
電話番号がコントロールされると、持ち主の通話、メール、2FA(2段階認証)コードを攻撃者が傍受することができる。
-
SIMスワップから身を守るには、強固なパスワードの使用、すべてのアカウントでの2FAの有効化、オンラインでの共有情報に注意、などの対策が挙げられる。
-
SIMスワップの被害に遭ったと思ったら、すぐにキャリアに連絡する。
【目次】
SIMスワップとは?
SIMスワップは、「SIMジャック」や「ポートアウト詐欺」とも呼ばれ、サイバー犯罪者があなたの電話番号を新しいSIMカードに移すことで、あなたの電話番号を乗っ取ってしまう詐欺です。これにより、サイバー犯罪者はあなたの通話、メール、2FAコードを傍受し、銀行口座、メール、SNS プロファイルなどのオンラインアカウントにアクセスすることができるようになります。
SIMカードは、持ち主の電話番号やその他の加入者情報を保存する小さなチップであり、SIMカードによって、スマートフォンなどの端末はキャリアのネットワークへの接続、電話の使用やテキストの送信、データへのアクセスなどができます。
SIMスワップは、ソーシャルエンジニアリング(人を騙して個人情報を提供させる技術)に依存しているため、非常に効果的な詐欺である可能性があります。詐欺師は、多くの場合はフィッシングメールやSNSのストーキング、あるいは闇市場で個人情報を買うなど、被害者の情報を集めるために様々なテクニックを使います。
十分な情報を得ると、攻撃者は持ち主のキャリアに連絡して本人になりすまし、キャリアの担当者を説得して、その電話番号を手持ちの新しいSIMカードに移行させようとします。特に、誕生日やマイナンバーの下4桁など、持ち主の個人情報が集まっていると、それがうまくいくことがあるかもしれません。
SIMスワップの仕組み
SIMスワップには、大体以下の2段階のプロセスがあります。
1.情報収集: 攻撃者はまず、個人情報を可能な限り集めようとする。この情報には、名前、住所、生年月日、社会保障番号、電話番号、セキュリティ質問の答えなどが含まれ、攻撃者はこの情報を集めるために、次のようなさまざまなテクニックを使うことがある。
-
フィッシング詐欺:銀行や電話会社など、正規の送信元からと思わせるようなメールやショートメール。このようなメッセージは、多くの場合は受信者を騙してリンクをクリックさせたり、偽の Web サイトに個人情報を入力させようとする。
-
ソーシャルメディアストーキング:攻撃者は、誕生日、出身地、友人や家族の名前など、驚くほど多くの個人情報をSNSのプロフィールから得ている場合がある。
-
闇市場で情報を買う:個人情報は、残念ながらダークウェブで簡単に購入できる。
2.電話番号をポートする: 攻撃者は本人に関する十分な情報を得ると、キャリアに連絡して本人になりすます。それでキャリアの担当者を説得して、電話番号を手持ちの新しいSIMカードに移行させようとする。そして攻撃者は、集めた情報を使って、セキュリティに関する質問に答えたり、本人の身元を確認したりする。
攻撃が成功すると、電話番号は新しいSIMカードに転送されます。つまり、乗っ取られた持ち主の通話、メール、2FA コードはすべて、本来の電話ではなく、攻撃者の電話に送られることになりまします。そして攻撃者は、この情報を使って本当の持ち主のオンラインアカウントにアクセスし、お金やIDを盗むことができます。
SIMスワップ攻撃を報告するには
SIMスワップの被害に遭ったと思ったら、すぐにキャリアに連絡することが一番大事です。早ければ早いほど、これ以上の被害を防ぐための措置を早く講じることができます。
SIMスワップ詐欺を報告する方法は以下の通りですが、具体的な手順はキャリアによって違うかもしれないので、その点に注意ください。
-
キャリアのカスタマーサービスに電話する。この番号は通常、キャリアのWebサイトや月々の請求書に記載されている。
-
カスタマーサービス担当者に、SIMスワップの被害に遭ったと思われることを説明する。
-
氏名、口座番号、交換された電話番号など、可能な限りの情報を担当者に提供する。
-
キャリアはおそらくあなたのアカウントを凍結して新しいSIMカードを発行する。
-
アカウントの安全が確保されたら、すべてのオンラインアカウントのパスワードも変更する。
その他、アメリカの大手通信キャリア3社による参考資料を以下にいくつか挙げています。
-
Verizon: https://www.verizon.com/about/account-security/sim-swapping
-
AT&T: https://about.att.com/pages/cyberaware/ni/blog/sim_swap
-
T-Mobile: https://www.t-mobile.com/support/business/change-sim-card
SIMスワップから身を守る方法
SIMスワップ詐欺の被害に遭わないようにできる対策は以下が挙げられます。
全アカウントで常に強力でユニークなパスワードを使用する
SIMスワップ詐欺はさまざまな悪質な計画に利用できますが、最も被害が大きいのは2FAコードを盗み取ることです。残念なことに、多くの銀行やその他の機密性の高い口座では、SMSベースのMFA(多要素認証)が許可されているか、あるいは要求されています。それでパスワードが脆弱だと、サイバー犯罪者と壊滅的な打撃の間に立ちはだかるのは、携帯電話キャリアの(低賃金の)カスタマーサポート担当者しかいません。
そこで、全アカウントに強力でユニークなパスワードが設定されれば、少なくとも攻撃者がステップ1を突破する可能性を下げることができます。
ほとんどのパスワードリセットの流れは、そのメールが安全であるという前提で動作するため、メールを保護するのは特に重要です!
ログイン認証情報の共有が必要な場合や、習慣が会社を危険にさらす可能性のある従業員がいる場合は、TeamPasswordのようなチーム向けの手頃なパスワードマネージャーに投資することをお勧めします。
可能な限りSMSの2FAを避ける
2FA(2段階認証)は、オンラインアカウントの保護に役立つセキュリティの追加レイヤーであり、2FA を有効にすると、ログインする際にパスワードに加えてコードの入力が必要になります。このコードは、SMS(ショートメール)でスマホに送信されるか、認証アプリまたはハードウェアトークンで生成されます。
SMSの2FA は、2FAをまったく使わないよりはましですが、最も安全なオプションではありません。というのも、SIMスワップによって攻撃者はあなたの電話番号にアクセスできるようになり、それで2FAコードも傍受される可能性がありますからね。
なので、SMSの2FAを使うのは可能な限り避けることが一般的に推奨されています。代わりに、Google AuthenticatorやMicrosoft Authenticator、Authyのような認証アプリを使いましょう。このアプリは、電話番号に紐づかないユニークなコードを生成します。また、YubiKeyのようなハードウェアトークンも2FAの安全なオプションです。
SNSとSIMスワップの問題点
多くのキャリアは、キャリアに連絡する際に、身元確認のために今でもセキュリティ質問に頼っています。ただ残念ですが、そういった質問に対する答えは、多くの場合はSNSのプロフィールで簡単に手に入ります。そのためハッカーは、誕生日やペットの名前、出身地などを、SNSを少し覗けば簡単に知ることができます。
自分自身を守るためのヒントを以下でいくつかご紹介します。
-
SNSでの情報共有には注意する。誕生日、住所、電話番号、ペットや家族の名前は公開しない。
-
オンラインアカウント全てに強力でユニークなパスワードを使う。複数のアカウントで同じパスワードを使い回さない。
-
SNSのアカウントでプライバシー設定を有効にする。これにより、誰が情報を見ることができるかが制限される。
このようなヒントに従うことで、攻撃者がSIMスワップを実行するのに必要な情報を集めにくくすることができます
上記の他にも、SIMスワップから身を守るためにできることが以下のようにいくつかあります:
-
フィッシング詐欺に注意する。見知らぬ送信者からのWebサイトやメールにリンクをクリックしたり、個人情報を入力したりしないようにする。
-
キャリアの口座を定期的に確認する。アカウント情報の変更や新たな請求など、不審な動きがないか確認する。
-
SIM カードに PIN を追加することを検討する。これにより、SIMカードの有効化にPINの入力が必要になる。
-
ソフトウェアを常に最新の状態に保つ。これには、OS(オペレーティングシステム)、Webブラウザ、セキュリティソフトウェアが含まれる。
認証情報を安全に管理する方法
認証情報の管理と保管は簡単ではありません。だからこそ、人は認証情報を簡単に推測されたり、フィッシングされてしまうパスワードを使ってしまうのです。
ベストプラクティスの一つに、信頼できるパスワードマネージャーの導入が挙げられます。TeamPasswordの目標は、ビジネスパスワード管理を手頃な価格で、分かりやすく、安全にすることです。TeamPasswordを14日間無料でぜひお試しください。
