本記事ではSIMスワップ詐欺について、文字通り、詐欺師が電話番号を詐取する手法について解説する。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
SIMスワップ詐欺はますます増加している。テック業界のリーダーを含め、様々な人が詐欺師の標的となり、甚大な損害を受けている。この詐欺に遭ってしまうと、携帯電話番号が乗っ取られてしまい、人生に大きな影響を与えることになりかねない。本稿では、SIMスワップ詐欺に対する理解を深めるべき理由について解説する。
SIMスワップ詐欺の仕組み
SIMスワップ詐欺は、別名「SIMハイジャック」や「SIM分割」とも呼ばれ、一種のアカウント乗っ取り詐欺として知られている。この攻撃を仕掛けるにあたり、攻撃者は標的についてあらゆる方法で情報収集をする。インターネットを検索したり、そのなかでもユーザーが過剰に公開しているごくわずかな情報を見つけ出すなどし、情報をかき集める。また、被害者の個人情報はすでに漏えいした情報からも収集される。あるいは、詐欺師が標的から直接個人情報を盗むフィッシング詐欺や電話を介して誘導するビッシング詐欺といった、ソーシャルエンジニアリングの手法を通じて個人情報が詐取されるケースもある。
十分な情報を手に入れた詐欺師は、標的が契約している携帯電話会社に連絡し、標的になりすますことで顧客サポートの担当者を騙し、標的の電話番号を詐欺師が保有しているSIMカードへ移すよう仕向ける。その場合の口実の多くは、携帯電話が盗まれたか、失くしたため切り替えが必要になったというものだ。
この手続きが完了すると、被害者はモバイル接続や電話番号が利用できなくなり、さらには被害者にあてられた電話やテキストメッセージを詐欺師が受け取るようになってしまう。
なぜSIMスワップ詐欺がそれほど危険なのか
一般的に、この種の攻撃の狙いは、被害者が保有するいくつかのオンラインアカウントへのアクセスを得ることだ。SIMスワップ詐欺を用いるサイバー犯罪者は、被害者が電話やテキストメッセージを二要素認証(2FA)に使用していることを前提としている。
この場合、被害者のオンライン上での行動や私生活に対し、目に見えない大惨事をもたらす可能性がある。具体的には、銀行口座から預金を全て引き出す、クレジットカードを限度額まで使用する、返済中のローンの支払いを滞らせる、といった被害があり得るだろう。
また攻撃者は、被害者のソーシャルメディアを乗っ取り、プライベートなメッセージや会話をダウンロードすることも可能だ。これらは長きにわたって被害者にダメージを与える可能性がある。さらには、被害者の評判を貶める侮辱的なメッセージを投稿することさえあるのだ。
SIMスワップ詐欺から身を守るには
まず、オンラインでシェアする個人情報を限定し、氏名・住所・電話番号を投稿するのは避けるようにしたい。また、日常生活に関する詳細な情報を公開し過ぎないようにすることも欠かせないだろう。本人確認に用いる秘密の質問に関するヒントを与えてしまう可能性があるからだ。
二要素認証(2FA)に関しては、追加の認証方法として電話とテキストメッセージのみに頼るのは再考の余地がある。代わりに、認証アプリやハードウェアトークンといった認証方法も検討すべきだろう。
フィッシングメールは、サイバー攻撃者が機密情報を得るための常套手段だ。信頼できる公共機関に巧みになりすますため、被害者は質問に進んで回答し、メールの信ぴょう性について十分に確認することも少ない。多くのフィッシングメールは迷惑メールフィルターで振り分けられるが、フィッシング詐欺を見抜く方法についても、学んでおくべきだろう。
通信事業者もユーザー保護に向けて取り組んでいる。例えば、ベライゾン社はSIMスワップ詐欺の攻撃から契約者を守るために「ナンバーロック」と呼ばれる機能を導入した。また、AT&T社・T-モバイル社・スプリント社は、追加の認証手段として、PINコード、パスコード、秘密の質問を提供するようになった。このような機能が提供されているかどうか、自分が契約する通信事業者へ確認してみてほしい。
おわりに
SIMスワップ詐欺の脅威は私たちの身の回りに常に存在し、誰でも被害を受ける可能性があるが、身を守る方法もある。本記事に紹介されたいくつかの手法を実行すれば、SIMスワップ詐欺の被害者になる可能性を下げることができる。加えて、銀行や通信事業者に連絡し、アカウントを保護するためのセキュリティサービスがあるか確認してみてはいかがだろうか。