セキュリティ

電話番号が奪われてしまうSIMハイジャックの脅威とは?


スマートフォンなどで電話やデータ通信を行うために必要なSIMカードですが、アメリカではSIMカードが乗っ取られてしまう「SIMハイジャック」が増加傾向にあります。SIMカードを乗っ取られてしまうと自身の端末で通話やデータ通信ができなくなるだけでなく、SNSの2要素認証を悪用され、SNSアカウントまで乗っ取られてしまうとのこと。ハッカーは何が狙いでSIMハイジャックを行っているのか、海外メディアのMotherboardがその理由に迫っています。

The SIM Hijackers - Motherboard
https://motherboard.vice.com/en_us/article/vbqax3/hackers-sim-swapping-steal-phone-numbers-instagram-bitcoin

2017年9月頃、ソルトレークシティに住むレイチェル・オストルンドさんは妹とメッセージのやり取りを行っていました。すると、レイチェルさんが契約しているT-Mobileから「SIMカードが更新されました」とのメッセージが届き、この直後にデータ通信が行えなくなってしまいました。この話を聞いた夫のアダムさんがレイチェルさんの携帯電話に電話してみたところ、呼び出し音が鳴ることを確認しましたが、レイチェルさんの携帯は何も反応せず、誰も電話に出なかったそうです。


そこで、アダムさんは1時間後改めてレイチェルさんの番号に電話をかけました。すると、見知らぬ声で「レイチェルですけど」と応答がありました。アダムさんは驚いたそうですが、「お前はレイチェルじゃない。一体何をやったんだ?」と尋ねると、相手から「お前たちの人生を破壊しているところだ」との返答のみがあったそうです。このとき既にレイチェルさんの電話番号が登録されていたInstagramやAmazon、Netflixなどの多くのウェブサービスのアカウントがハッカーに乗っ取られていました。

この事件の発生以降、同様の被害が続出するようになります。そして、レイチェルさんの事件から約5カ月後の2018年2月になると、T-Mobileは契約者に対して「SIMハイジャックの脅威」について、警告のメッセージを送付するようになりました。


このSIMハイジャックの手口は非常に簡単で、事前にある程度準備をしていたら、誰でも行えてしまう特徴があります。まず、キャリアのサポートに連絡し、「○○(ターゲット)のSIMカードを紛失しました」と伝えます。その後、ハッカーが所有している新しいSIMカードの番号にターゲット宛の電話を転送してもらうか、SIMカードを書き換えてもらうように依頼を行います。当然、キャリアからは身分証明を求められますが、あらかじめターゲットとなる人物の住所や社会保障番号を調べておけば対応できるため、SIMハイジャックを簡単に行うことができてしまいます。

SIMカードには携帯電話のネットワーク上に同じSIMカードが複数存在できないという特徴があります。最後に更新されたSIMカードが正しいものとして扱われるため、第3者に更新されてしまうと電話番号を奪われてしまう問題があります。電話番号はSNSや多くのウェブサービスの2要素認証に使用されていることが多いため、SIMハイジャックを受けるということは、電話番号を登録しているサービスのアカウントも乗っ取られてしまう可能性が高くなります。

セキュリティ企業のCelsus Advisory Groupに務めるロエル・ショウエンバーグ氏は「残念ながら多くのウェブサービスはSIMハイジャックを想定したセキュリティ対策は行われていません」と語り、電話番号は決して安全ではなく、これを認証の最後の鍵として使用している多くのウェブサービスはセキュリティ的に好ましくないとしています。


SIMハイジャックを行うハッカーの狙いは、電話番号でないことも明らかになっています。あるハッカーによると、SIMハイジャックはSNSアカウントの乗っ取りを目的に行っているとのこと。乗っ取ったSNSアカウントは裏のマーケットで売買されており、特に文字数の少ないIDや特定の意味を持つIDについては高額で取引されるそうです。別のハッカーによると「『@t』のInstagramアカウントが約4万ドル(約452万円)で取引されたことある」とのことです。レイチェルさんの場合、Instagramアカウントが「@Rainbow」であったことから、かっこいいID名であるとしてハッカーに狙われたものと考えられています。

SIMカードの犯罪に詳しいRecorded Futureに務めるセキュリティ研究者のアンドレイ・バリセビッチ氏は「SIMカードを交換する方法さえ知っていれば、お金をたくさん稼げてしまうのが現状です」と述べており、今後もSIMハイジャックの被害が増加すると予想しています。

希少価値の高いTwitterアカウントを持つユーザーが体験した恐ろしい出来事 - GIGAZINE

Twitterの「@japan」を持つ人物の意外過ぎる目的とは? - GIGAZINE

TwitterやFacebookのアカウントがハッキングされた際にとるべき対処法とハッキングされないための簡単な予防法 - GIGAZINE

自分のTwitterのログイン履歴などをチェックし不正アクセスで乗っ取られたかどうかわかる「Twitterデータ」使い方まとめ - GIGAZINE

Facebookから流出した情報にはプライベート・メッセージが含まれる可能性が報じられる、ケンブリッジ・アナリティカは否定 - GIGAZINE

in モバイル,   セキュリティ, Posted by log1j_ty