1.犯罪の概要
攻撃者が相手のSIMを乗っ取った後、
そのSIMで受信できるSMSを使った二段階認証を突破し、
オンラインバンキングなどに不正ログインを行う攻撃
SIMハイジャック(攻撃)とも呼ばれる
2.海外での手口(SIMスワップ)
SIMを紛失した、手持ちのSIMに電話番号を入れ替えて欲しい
電話番号の入れ替えるを要求する
・攻撃者は攻撃対象の個人情報を事前に調査し、身分証明書を偽造する
メールアドレスや住所、使用している携帯電話会社情報等
・携帯電話会社に電話番号の変更を申し入れる
攻撃者に対して身分証明書などの詳細な個人情報の提示を求める
攻撃者は、偽造の身分証明書を提示する
・本人確認後、携帯電話会社はSIMの電話番号を入れ替える
攻撃者は攻撃対象のSMSを利用可能になる
・攻撃者は、攻撃対象の金融などのアカウントに対してログインを行う
SMSによる二要素認証を突破することが可能になる
元の持ち主のアクセスを防ぐため、直ちにパスワードを変更する
3.日本での手口(SIMハイジャック)
日本での手口は異なる
・携帯電話会社を切り替える
MNP(携帯番号ポータビリティ制度)を悪用し、
被害者の携帯電話会社を解約し、
番号を引き継いで別の携帯電話会社と契約を行う
・SIMのサイズ変更を依頼する
攻撃対象が標準SIMやMicro SIMを使っている場合、
nano SIMに変更したいと偽り、
契約者になりすまして携帯電話ショップに来店する
※nano SIMが普及した現在ではこの理由での再発行は難しい
・SIMを紛失したと偽る
SIMを紛失したと偽り、携帯電話ショップに来店する、
契約者になりすましSIMの再発行を認めさせる
4.対応策
・個人情報の漏洩を防ぐ
ソフトウェアを最新の状態に保つ、
不審なメールにあるリンクをクリックしない、
添付ファイルのダウンロードを行わない
・メールの送受信に細心の注意を払う
不審なメールに返信したり、個人情報を電話でやり取りしない
・個人情報をむやみに公開しない
・認証アプリやワンタイムパスワード用のトークンデバイスを使用する
二要素認証をSMSでは使用しない
・電話番号と重要なアカウントを紐づけない
銀行に登録する電話番号は携帯電話ではなく固定電話にする
・SIMにPINを設定する
SIMの盗難による悪用を防止する
・通知をメールで受け取る
携帯電話会社へのログイン時に、通知を受ける
・SIMが無効になっていないかを確認する