SIMスワップ攻撃に対する保護を強化すべき

SIMスワップ攻撃に対する保護を強化すべき – FCC- 9to5Mac

連邦通信委員会 (FCC) は、SIM スワップ攻撃やポートアウト攻撃に対するセキュリティ保護を強化するよう通信事業者に求めている。

こうした攻撃は、犯罪者が個人情報を盗み、Apple IDから銀行口座まであらゆるものを乗っ取るためによく使われる手法です…

背景

SIMスワップ攻撃とは、攻撃者が通信事業者を説得して、あなたの電話番号を新しいSIMカードに割り当てることです。ポートアウト攻撃とは、新しい通信事業者にあなたの名前でアカウントを作成し、攻撃者があなたの携帯電話番号を新しいアカウントに移動させ、攻撃者がそのアカウントを管理することです。

どちらの場合も、攻撃者はあなたのアカウントの2要素認証（2FA）コードを受け取ります。このコードはフィッシング攻撃と組み合わせることで、あなたの個人情報を盗むことができます。この種の詐欺の最も恐ろしい点は、パスワードリセットのために送信されたSMS認証コードも攻撃者に届くため、被害者が身元を証明することがほぼ不可能になる可能性があることです。（これが、SMSが2FAとして最悪の手段である理由の一つです。）

昨年の調査では、米国の通信事業者がこうした攻撃から顧客を適切に保護できていないことが判明した。

使われた方法は驚くほど単純でした。発信者は、主要なセキュリティの質問の答えを忘れたと主張し、生年月日や出生地などの質問に答えられないのは、アカウントの設定時に間違いを犯したに違いないと主張しました。
信じられないことに、カスタマーサービス担当者は、最後にかけた2つの電話番号を言うだけで認証を許可しました。調査報告書が指摘しているように、ボイスメールを残したりテキストメッセージを送信したりするだけで、知らない番号に電話をかけるように仕向けるのは非常に簡単です。3つの通信事業者は、着信を認証として受け入れることさえありました。つまり、攻撃者は使い捨ての携帯電話から被害者の携帯電話に電話をかけるだけで済むのです。

FCCはSIMスワップ攻撃に対するより強力な保護を求めている

FCCは、この問題に対処する必要があるのは明らかだと述べている。

FCCは、SIMスワップやポートアウト詐欺によって深刻な苦痛、不便、そして経済的損害を被った消費者から多数の苦情を受けています。さらに、最近のデータ侵害により顧客情報が漏洩し、こうした攻撃の実行を容易にする可能性がある事態が発生しています。

同委員会は、通信事業者に対し、こうした要求を行う顧客の身元を確認するために、より安全な方法を使うよう義務付けたいと考えている。

連邦通信委員会は本日、加入者識別モジュール（SIM）スワッピング詐欺とポートアウト詐欺に対処することを目的とした正式な規則制定プロセスを開始しました。これらの詐欺はいずれも、消費者の携帯電話を物理的に制御することなく、消費者の携帯電話アカウントを盗むために悪用されるものです。[…]
この法案は、顧客固有ネットワーク情報（CPNI）および市内番号ポータビリティに関する規則を改正し、通信事業者に対し、顧客の電話番号を新しいデバイスまたは通信事業者に転送する前に、顧客を認証するための安全な方法を採用することを義務付けることを提案しています。また、顧客のアカウントでSIMの変更またはポートのリクエストがあった場合は、プロバイダに対し、直ちに顧客に通知することを義務付けることも提案しています。

次のステップは、公的な協議プロセスです。

その間、いくつかの予防策を講じることで、この種の攻撃の被害に遭うリスクを最小限に抑えることができます。