スマートフォン**のOSは、セキュリティ侵害を防ぐために定期的にアップデートする必要があることはご存じでしょう。しかし、SIMカードがセキュリティ侵害の原因になることもあるのです。ここでは、ハッカーがSIMカードを使ってあなたの端末にアクセスする方法を紹介するとともに、SIMカードの安全性を確保するためのアドバイスも行っています。

1シムジャッカー社

2019年9月、AdaptiveMobile securityのセキュリティ研究者は、Simjackerと呼ばれる新しいセキュリティ脆弱性を発見したと発表しました。この巧妙な攻撃は、SIMカードを標的としています。これは、ショートメッセージを使って、スパイウェアのようなコードをターゲットのデバイスに送信することによって行われます。

ターゲットがメッセージを開くと、ハッカーはそのコードを使って通話やメッセージを監視し、さらにその位置を追跡することができます。

この脆弱性は、多くの電話事業者がSIMカードに使用しているSIM Application Toolkit（STK）の一部であるS@T Corporationというブラウザを使用することで悪用されます。SIMalliance Toolkitブラウザは、インターネットへのアクセス手段で、基本的にサービス事業者がメールなどのウェブアプリケーションとやり取りするための基本的なウェブブラウザです。

しかし、現在、ほとんどの人が端末でChromeやFirefoxなどのブラウザを使用しているため、S@Tのブラウザはほとんど使われていません。しかし、現在でも多くの端末にインストールされているため、シムジャッカーによる攻撃を受ける可能性があります。

研究者は、この攻撃が過去2年間に複数の国で使用されたと考えており、S@Tのプロトコルは、中東、アジア、北アフリカ、東欧を中心に「累積人口10億人以上の少なくとも30カ国で携帯電話事業者に使用されている」と明記しています。

また、この脆弱性は、特定のグループを監視するために国**と協力している民間企業によって開発され、悪用されたと考えています。現在、1日に100〜150人がこの攻撃の標的になっています。

この攻撃はSIMカードに対して行われるため、iPhoneやAndroid端末をはじめ、組み込み型SIMカード（ESIM）でも、すべてのタイプ**が脆弱となります。

2simカード交換

また、SIMカードのセキュリティ問題として、SIMカードのすり替えも聞いたことがあるかもしれません。2019年8月、ハッカーがこの手法のバリエーションを用いて、TwitterのCEOであるジャック・ドーシー氏の個人Twitterアカウントを乗っ取りました。この事件は、このような攻撃がいかに大きな被害をもたらすかについて、認識を改めさせるものでした。この比較的単純な技術は、技術的な脆弱性ではなく、裏技や人間工学を利用しています。

SIMカードの交換を行うために、ハッカーはまず、あなたの**プロバイダー**に電話をかけます。彼らはあなたのふりをして、新しいSIMカードを要求してきます。新しいデバイスにアップグレードしたいので、新しいSIMカードが必要だと言われるでしょう。成功すれば、電話会社からSIMカードが送られてくる。

そして、あなたの電話番号を盗み、SIMカードを抜き取ることなく自分の端末にリンクさせることができるのです。

これには2つの効果があります。まず、本物のSIMカードは、プロバイダーによって無効化され、動作しなくなります。次に、ハッカーはあなたの電話番号に送られる電話、メッセージ、二要素認証のリクエストをコントロールできるようになりました。つまり、あなたの銀行口座や電子メールなどにアクセスするのに十分な情報を持っていることになります。

他のアカウントからロックアウトすることもできる。

SIMカードの交換は防ぎようがない。これは、ハッカーがカスタマーサポートの担当者をあなただと思い込ませることができるからです。SIMカードを手に入れたら、電話番号の管理もできる。手遅れになるまで、自分がターゲットであることに気づかないかもしれません。

SIMカードを安全に保管する方法

このような攻撃からSIMカードを守りたい場合、いくつかの方法があります。

ソーシャルエンジニアリング攻撃の防止

SIMカードのスワッピングを防ぐには、ハッカーに情報を見つけられにくくする必要があります。ハッカーは、友人や家族の名前、住所など、ネット上で見つけたあなたのデータを利用します。この情報を元に、お客様に「このサポートエージェントはあなただ」と納得していただくことができます。

Facebookのプロフィールを友達のみに設定し、他のサイトで共有する公開情報を制限することで、これらの情報をロックすることができます。また、使わなくなった古いアカウントは、ハッカーの標的にならないよう、忘れずに削除してください。

SIMカードのすり替えを防ぐもう一つの方法は、フィッシングに注意することです。ハッカーは、あなたのSIMカードをコピーするために、より多くの情報を得るためにあなたになりすまそうとする可能性があります。不審なメールやログインページに注意する。利用するアカウントのログイン情報を入力する際には、注意が必要です。

最後に、使用している二要素認証の方式を検討します。二要素認証サービスの中には、認証コードをSMSメッセージで端末に送信するものがあります。つまり、SIMカードが流出すると、2ファクタ認証を導入していても、ハッカーはあなたのアカウントにアクセスできてしまうのです。

代わりに、Google認証アプリなど、別の認証方法をご利用ください。このように、電話番号ではなく端末に紐づけて認証することで、SIMカード交換時の安全性を高めているのです。

SIMカードロックを設定する

攻撃からSIMカードを守るために、SIMカードにもプロテクトをかけましょう。最も重要なセキュリティ対策は、SIMカードにPINコードを付加することです。こうすることで、誰かがあなたのSIMカードを変更したい場合、PINコードが必要になります。

SIMカードロックを設定する前に、ネットワークプロバイダーから提供されたPINコードを確認する必要があります。そのためには、Android端末の「設定」 > 「ロック画面」、「セキュリティ」 > 「その他」にアクセスしてください。セキュリティ設定」 >「SIMカードロックの設定」。すると、SIMカードをロックするためのスライダーを有効にすることができます。

iPhoneの場合、「設定」> 「**」> 「SIM PIN」にアクセスします。iPadの場合、「設定」 > 「モバイルデータ」 > 「SIM PIN」にアクセスします。その後、既存のPINナンバーを入力して確認すると、SIMロックが有効になります。

SIM PINの設定に関する詳しいアドバイスと手順については、あらゆるモバイルデバイスのSIMカードロックを暗号化して設定する方法の記事をご覧ください。

その他の安全対策

古いパスワードを再利用したり、複数のアカウントに同じパスワードを使用したりしないでください。

また、パスワード回復のための質問に対する回答は、母親の旧姓など、公開されないように配慮してください。

SIMカード攻撃から端末を守る

SIMジャッカーとSIMスワップ攻撃は、どちらもSIMカードを狙うものですが、その方法は異なります。SIMジャッカーは、電話事業者が使用するソフトウェアの脆弱性を突く技術的な攻撃で、SIMスワップ攻撃は、ソーシャルエンジニアリングを用いてSIMカードのコピーを取得するものです。

このような攻撃に対しては、個人情報を非公開にする、SIMカードロックを設定するなどの防御策があります。

これは、**がこれまで以上に安全になったことを意味し、あなたの**がハッキングされたかどうかをいつでも確認することができます。その理由については、「smart**がdumb**より安全な理由」の記事をご覧ください。