「SIM スワップ」による携帯電話の不正利用とその対策

携帯電話を紛失したことはありますか。

なくしたことがある方は、携帯電話会社が新しい電話を販売してくれ、電話の起動に必要な新しい SIM カードを提供してくれることをご存知かと思います。

新しい電話を起動すると、これまで使用していた電話番号がすでに入っているので、友人や同僚に新しい番号を教える必要もありません。

電話番号は SIM カードに紐付けされているので、新しい電話に引き継がれます。SIM は Subscriber Identity Module (加入者識別モジュール) の略で、ネットワークが電話番号を識別するための暗号化データが保管されている特殊な SoC (System-on-a-Chip) カードです。

また、現在のデバイスの SIM カードとは異なるサイズの SIM カードが必要な携帯電話に切り替える場合は、携帯電話会社から新しい SIM を取得する必要があります。

上記のようなアップグレードをすると、古い SIM は突然機能しなくなり、古い電話では「緊急通話」しかできなくなります。

そして、しばらくすると、新しい携帯電話の新しい SIM が自動的に動作を開始します。この時点から、新しい携帯電話での通常の通話とテキストメッセージの受信が始まります。

ここで重要なのは、ほとんどの携帯電話ショップは新しい SIM カードをその場で発行して有効にできるため、古い SIM は使えなくなり、ユーザーの ID は新しい SIM に引き継がれる、という点です。

このプロセスを一般的に SIM スワップと呼びます。

SIM スワップとセキュリティ

携帯電話が盗難に遭った場合、盗まれた電話の SIM をすぐに無効にして、犯人が自分のアカウントを利用して電話をかけたり、自分宛てのプライベートな通話やメッセージを受信したりすることを防止できるため、SIM スワップはセキュリティ上非常に優れています

しかし、SIM スワップの実行者が犯人であった場合には、SIM スワップはセキュリティ上深刻な問題をもたらします。なぜなら、使えなくなるのはユーザーの携帯電話であり、犯人はユーザーの電話やメッセージにアクセスできるようになるからです。

この後の展開はもうお分かりでしょう。

銀行を始めとする多くのオンラインサービスは、SMS の送信や音声コールの発信を通じて、トランザクションの完了に必要なワンタイムログオンコードをユーザーに提供します。こうすることで、少なくとも理論上はユーザー名とパスワードだけを使用するよりもセキュリティを強化できます。

ログオンまたはトランザクションごとに 1 回限りの認証コードを使用するプロセスは、2FA (2 要素認証) または 2SV (2 段階認証) と呼ばれます。これは、パスワードが単独では使いものにならないことを意味します。

また、犯人が 2FA/2SV コードの 1 つを盗むことができたとしても、数か月から数年間有効なパスワードとは異なり、次回は使用できません。

しかし、不正な SIM スワップでは、ユーザーのすべての 2FA コードが少なくとも一時的に盗まれるのと同じことになります。

さらに厄介なことに、ユーザーが古い SIM と携帯電話に適用した SIM PIN または電話ロックコードは無関係になってしまいます (新しい SIM にはデフォルトの PIN が設定され、ユーザー自身のロックコードは犯人の電話には適用されません)。

何よりも問題なのは、携帯電話が使えなくなっているため、携帯電話会社に連絡することもできません。

SIM スワップの重要性

攻撃者は長年にわたり、次のような不正行為のために SIMスワップを行っています。

  • ユーザーのアカウントでできるだけ多くのプロファイル設定を変更する。
  • 共犯者用の新しい支払先アカウントを追加する。
  • ユーザーのアカウントから現金を引き出す。

ユーザーのアカウントの設定を変更することにより、銀行は不正利用を検出しにくくなります。また、ユーザーにとっては、不正利用が行われた事実を銀行に認めさせることが難しくなります。

つまり、2FA というセキュリティ対策が追加されている場合、アカウントの所有権がいったん他の誰かに主張されてしまうと、その後名乗り出た本当の所有者があたかも詐欺師であるかのように見えてします。

そうなると、ユーザーは携帯電話会社および銀行に対して自分が本物であることを証明しなくてはなりません。

残念ながら、このような不正利用は現在も横行しており、National Fraud Intelligence Bureau (NFIB: 英国詐欺情報局) の一組織である ActionFraud UK は先週次のように警告しています。

ActionFraud UK はこの詐欺行為を「SIM 分割」と呼んでいますが、同じ犯罪です。詐欺師はおそらく偽造 ID を見せ、セキュリティ質問の答えを推測する、あるいは従業員を買収するなどの手口を使って携帯電話ショップを騙し、他のユーザーの SIM を再発行させます。この手法はオーストラリアでは、「ナンバー移植」と呼ばれることもあります。

対策

  • まず第一に、ユーザー名とパスワードを入手しようとするフィッシングメールや偽の Web サイトに注意してください。詐欺師がユーザーのテキストメッセージにアクセスする必要があるということは、すでにアカウント番号、ユーザー名、パスワードなどの情報を把握していて、SIM スワップの最終段階に入っていることを意味しています。
  • セキュリティ質問の回答は分かりやすいものにしないでください。ソーシャルメディアのアカウントから推測されないように、セキュリティ質問の回答はパスワードマネージャーを使用して意味不明で推測不可能なものを生成します。初めて所有した車がトヨタであったことは推測できても、87X4TNETENNBA という回答を推測できる可能性は極めて低くなります。
  • オンアクセス (リアルタイム) のウイルス対策ソフトウェアを使用してください。また、ソフトウェアは最新の状態にしておきます。詐欺師は一般的に、キーロガーマルウェアを使用してユーザー名とパスワードを入手します。キーロガーマルウェアは、ユーザーが特定の Web ページ (銀行のログオンページなど) にアクセスするまで隠れていて、ユーザーがログインするために入力した内容を記録するものです。優れたリアルタイムアンチウイルスを使用することで、危険な Web リンク、感染した電子メールの添付ファイル、悪意のあるダウンロードのブロックが可能になります。
  • 携帯電話が突然「緊急通報のみ」の状態に戻った場合は、警戒してください。同じネットワークを使用している友人や同僚に問題が起きていないか確認してください。必要に応じて、友人の携帯電話を借りて携帯電話会社に連絡し、サポートを依頼したり、ショップやサービスセンターに出向いて身元を証明する ID などの証拠を提示します。
  • SMS ベースの 2FA コードの代わりに、認証アプリで生成されるコードを使用することを検討してください。こうすることで、ユーザーの携帯電話を盗み、ロックコードを特定しなければ、固有のログオンコードシーケンスを生成するアプリにアクセスできなくなります。

ただし、SMS からアプリベースの認証に切り替えたからといって、すべての問題が解決するわけではありません。

携帯電話に隠れているマルウェアが、ユーザーの知らないうちに認証アプリに次のトークンを生成させるかもしれません。また、巧妙な詐欺師が電話をかけてきて、「不正利用がされていないかチェックしている」と嘘をつき、ログオンコードを読み上げるよう誘導するかもしれません。

疑わしい要求には応えないことが重要です。

不正な SIM スワップの取り締まりおよび防止は容易ではありません。前述したように、ほとんどの携帯電話ショップでこのプロセスを実行できるため、悪意のある人や不注意な人が操作した場合、誰でも危険にさらされる可能性があります。このため、米国立標準技術研究所 (NIST) は先日、米国の公共サービスで SMS ベース認証の使用を禁止する新たなガイドラインを発表しました。

関連記事 (英語): NIST’s new password rules – what you need to know (NIST が新たに定めたパスワードに関するルール)►