自分ではいい仕事をしていると思っているのでしょう。あなたのセキュリティはスマートです。すべてのアカウントで2ファクタ認証が有効になっている。しかし、ハッカーはこれを回避する方法として、SIMカードの交換を行うことができます。

この攻撃は、被害に遭った人に恐ろしい結果をもたらす可能性のある、破壊的な方法です。幸いなことに、自分の身を守る方法はあるのです。その仕組みと対処法をご紹介します。

シムスワップアタックは何ですか？

SIMスワッピング」は本来、何の問題もありません。を紛失した場合、オペレーターがSIMスワップを行い、お客様の**番号を新しいSIMカードに移動します。これは日常的な****作業です。

問題は、ハッカーや組織的犯罪者が電話会社を騙してSIMカードの交換を実行する方法を発見したことです。そして、SMSベースの2要素認証（2FA）で保護されているアカウントにアクセスすることができます。

突然、あなたの電話番号が他人の電話番号にリンクされ、犯人はすべてのメールと電話を受けることになります。

二要素認証は、パスワードの漏洩の問題に対処するために設計されています。多くのウェブサイトでは、パスワードの保護が**厳密には**行われていません。ハッシュ化、ソルティングを行うことで、第三者がパスワードをそのまま読み取れないようにしている。

さらに悪いことに、多くの人が異なるウェブサイトでパスワードを再利用しています。あるサイトがハッキングされると、攻撃者は他のプラットフォームのアカウントを攻撃するために必要なものをすべて手に入れ、雪だるま式に増えていくのです。

多くのサービスでは、セキュリティ上の理由から、ログイン時に特別なワンタイムパスワード（OTP）を要求されることがあります。これらのワンタイムパスワードは動的に生成され、一度だけ有効です。また、短期間で失効します。

多くのウェブサイトでは、利便性を高めるために、これらのワンタイムパスワードをSMSメッセージとしてお客様の**に送信していますが、これにはリスクが伴います。もし、攻撃者があなたの**を盗んだり、SIMカードの交換を行うことで、あなたの電話番号にアクセスすることができたらどうなるのでしょうか？これにより、その人はあなたの銀行口座や金融口座など、あなたのデジタルライフにほぼ自由にアクセスできるようになります。

では、SIMスワップ攻撃はどのように行われるのでしょうか。まあ、攻撃者が電話会社の社員を騙して、あなたの電話番号を自分の管理下にあるSIMカードに移したかどうかによりますが。これは、電話や電話ショップで直接行うことができます。

そのためには、攻撃者は被害者について何か知っている必要があります。幸いなことに、ソーシャルメディアには、セキュリティ上の懸念を払拭するような経歴の詳細が溢れています。あなたの最初の学校、あなたのペット、またはあなたの人生の愛、そしてあなたの母親の旧姓は、すべてあなたのソーシャルアカウントで見つけることができます。もちろん、それが失敗しても、フィッシングは常に存在する。

SIMカード交換攻撃は非常に複雑で時間がかかるため、特定の個人を狙った標的型侵入に適しています。規模的に実現が難しい。しかし、SIMカード交換攻撃が蔓延している例もあります。ブラジルのある組織犯罪グループは、比較的短期間に5,000人の被害者を交換することに成功しました。

ポートアウト」詐欺も同様で、電話番号を乗っ取り、新しい携帯電話会社に「ポート」させるというものです。

関連：SMSの2要素認証は完璧ではないが、それでも使うべき

最もリスクが高いのは誰ですか？

SIMスワップ攻撃は、その労力の割に驚くべき結果をもたらすことが多い。

最近、暗号通貨の取引所やウォレットがよく狙われるようになりました。ビットコインは従来の金融サービスとは異なり、チャージバックが発生しないため、その普及に拍車がかかっています。送信したら、もうないんです。

また、銀行に登録することなく、誰でも暗号通貨のウォレットを作成することができます。これは、お金に関する匿名性に最も近く、盗まれたお金の洗浄を容易にするものです。

ビットコイン投資家のマイケル・ターピンは、SIMスワップ攻撃の被害者として知られており、1,500枚のコインを失った。これは、ビットコインが史上最高値を記録するわずか数週間前の出来事である。当時、タルピンの資産は2400万ドル以上あった。

ZDNetのジャーナリストであるマシュー・ミラー氏がSIMスワップ攻撃の被害に遭った際、ハッカーは彼の銀行を利用して2万5000ドル相当のビットコインを購入しようとしたのです。幸いなことに、銀行が彼の口座からお金が離れる前に、請求額を元に戻すことができました。しかし、攻撃者はミラーのGoogleやTwitterのアカウントなど、ネット上の生活すべてをスパムにすることができた。

SIMスワップ攻撃は、被害者を困らせるために行われることもあります2019年8月30日、TwitterとSquareの創業者ジャック・ドーシーがこの残酷な教訓を学びました。ハッカーが彼のアカウントを乗っ取り、人種差別や反ユダヤ主義のモノマネを彼のフィードに投稿し、何百万人もの人がそれを追った。

どうしてテロが起きたとわかったのですか？

SIMカード交換口座の最初の兆候は、SIMカード上のすべてのサービスが失われることです。データプランによるテキストメッセージや通話の受信・送信、インターネットへのアクセスはできません。

場合によっては、電話会社から新しいSIMカードに番号を移行する前に、交換が行われることを知らせるテキストメッセージが送信されることがあります。これは、ミラーの場合です。

「6月10日（月）午後11時半、長女が私の肩を揺すって、深い眠りから起こしてくれた。彼女は、私のTwitterアカウントがハッキングされたようだと言いました。しかし、事態はもっと深刻だった。

ベッドから転がり出た後、Apple iPhone XSを手に取ると、「T-Mobileの警告：xxx-xxx-xxxxのSIMカードは変更されました」というテキストメッセージが表示されました。この変更が許可されていない場合は、611に電話してください'"。

また、メールアカウントにまだアクセスできる場合、アカウント変更の通知や、注文していないオンライン注文など、奇妙な動きが見られるようになることがあります。

どのように対応すればよいのでしょうか。

SIMスワップ攻撃が発生した場合、事態の悪化を防ぐために迅速かつ果断な対応が必要です。

まず、銀行やクレジットカード会社に電話をして、口座を凍結するように依頼します。これにより、攻撃者があなたの資金を使って不正な買い物をするのを防ぐことができます。また、事実上、あなたはIDセフトの被害者でもあるので、信用情報機関に連絡し、あなたの信用を凍結するよう依頼することも賢明です。

そして、できるだけ多くのアカウントを、汚染されていない新しいメールアカウントに移動して、攻撃者の「先手を打つ」ようにしてください。古い電話番号のリンクを解除し、強力なパスワードを使用する（しかも新品を使用する）。もし、お客様に連絡がつかない場合は、****部までご連絡ください。

最後に、警察に連絡し、犯罪を通報してください。あなたが犯罪の被害者であることを言い過ぎました。多くの住宅所有者向け保険には、個人情報漏洩対策が含まれています。警察の報告書を提出することで、あなたの保険に対して請求を行い、いくらかのお金を取り戻すことができるかもしれません。

攻撃から身を守るには

もちろん、予防は治療に勝るとも劣らない。SIMスワップ攻撃を防ぐ最善の方法は、SMSベースの2FAを使わないことです。幸いなことに、説得力のある代替案がいくつかあります。

Googleauthenticatorのようなアプリケーションベースの認証プログラムを使用することができます。もう一つのセキュリティレベルとして、YubiKeyやGoogle Titan Keyのような物理的な認証トークンを購入することが可能です。

テキストや通話ベースの2FAをどうしても使いたい場合は、他では使わない専用のSIMカードの購入を検討すべきです。また、Google Voiceの番号を利用する方法もありますが、これはほとんどの国で利用できません。

残念ながら、アプリベースの2FAや物理的なセキュリティキーを使用していても、多くのサービスではこれらを回避して、電話番号に送信されるテキストメッセージでアカウントに再アクセスすることが可能です。googleadvancedprotectionのようなサービスは、"ジャーナリスト、活動家、ビジネスリーダー、政治運動チームなど"、標的とされやすい人たちに対して、より弾丸のようなセキュリティを提供するものです。

関連：Googleアドバンストプロテクションとは、どんな人が使うべきなのか？