SIMスワッピングとSIMクローニングは何が違うのですか？

SIMクローニングはSIMカードを物理的に複製する技術的な手法ですが、SIMスワッピングは携帯キャリアのカスタマーサービス担当者を騙すソーシャルエンジニアリング攻撃です。現代の攻撃者にとって、SIMスワッピングのほうが実行がはるかに簡単であるため、より一般的な手口となっています。

自分がSIMスワップ攻撃を受けたかどうか、どうすれば分かりますか？

最も明確なサインは、突然スマートフォンの電波が途絶えることです。特にWi-Fiがある環境でも通話やSMSができなくなった場合は注意が必要です。その後、パスワードリセットのメールが届いたり、アカウントからログアウトされたりする場合は、攻撃が進行中の可能性があります。すぐにキャリアに連絡してください。

VPNはSIMスワッピングから私を守ってくれますか？

いいえ。VPNはインターネットトラフィックを暗号化し、オンラインでのプライバシーを保護しますが、SIMスワッピングはあなたの携帯キャリアとその認証プロセスを標的にするため、VPNの保護範囲外となります。SMS 2FAをアプリベースの2FAやハードウェアセキュリティキーに切り替えることが、最も効果的な対策です。

SMS 2FAを使用しているすべてのアカウントが危険にさらされますか？

はい、SMS 2FAを唯一の認証手段としているアカウントはすべてリスクにさらされる可能性があります。特に金融機関、メールアカウント、暗号資産取引所は優先的に標的にされます。これらのアカウントでは、できる限りアプリベースの2FAまたはハードウェアセキュリティキーに移行することを強くお勧めします。

SIMスワッピング

SIMスワッピング：犯罪者があなたの電話番号を乗っ取る手口

電話番号は、あなたのデジタルライフにおける最も重要な鍵の一つになっています。銀行、メールプロバイダー、ソーシャルメディアプラットフォームのいずれも、本人確認にそれを使用しています。SIMスワッピングは、まさにこの信頼を悪用した個人情報窃取の一形態であり、あなたのオンラインセキュリティをわずか数分で崩壊させる可能性があります。

SIMスワッピングとは？

SIMスワッピング（SIMハイジャッキングまたはポートアウト詐欺とも呼ばれます）とは、攻撃者があなたの携帯キャリアを説得して、あなたの電話番号を攻撃者自身が所有する新しいSIMカードに再割り当てさせる攻撃です。これが成功すると、ワンタイムパスワード（OTP）やログイン確認コードを含む、あなた宛てのすべての通話とテキストメッセージが攻撃者のもとに届くようになります。

恐ろしいのは、あなたの物理的なスマートフォンはそのまま動作し続けるという点です。目立った警告もなく携帯の電波が届かなくなるだけで、手遅れになるまでネットワーク障害と勘違いしてしまうことも少なくありません。

SIMスワップ攻撃はどのように行われるのか？

この攻撃は、情報収集とソーシャルエンジニアリングという2つのフェーズで構成されます。

偵察： 攻撃者はまず、氏名、住所、口座番号、社会保障番号の下4桁といった個人情報を収集します。このデータは多くの場合、データ侵害、フィッシングメール、あるいはあなた自身のソーシャルメディアプロフィールから入手されます。

なりすまし： 十分な個人情報を手に入れた攻撃者は、あなたのふりをして携帯キャリアに連絡します。電話、オンラインチャット、あるいは店頭での対面によって、スマートフォンを紛失または破損したと主張し、電話番号を新しいSIMに移すよう要求します。

乗っ取り： キャリアが要求に応じると、攻撃者はあなたのSMSメッセージと通話をすべて受信できるようになります。そして直ちに、メール、暗号資産ウォレット、バンキングアプリ、あるいはその電話番号に紐づいたあらゆるアカウントで「パスワードを忘れた」フローを実行します。わずか数分で、あなたはすべてのアカウントから締め出される可能性があります。

攻撃全体は1時間以内に成立することもあり、一部のキャリアは驚くほど簡単に騙されてしまうことが明らかになっています。

VPNユーザーやプライバシーを重視する人にとってなぜ重要なのか

VPNを使ってプライバシーを守っている方は、デジタルアイデンティティを保護することの重要性をすでに理解しているはずです。しかし、VPNはSIMスワッピングからあなたを守ることはできません。これはまったく異なるレイヤーで機能する問題だからです。

SIMスワッピングは、SMSベースの二要素認証（2FA）を直接的に無効化します。SMSベースの2FAがアカウントを完璧に守ってくれると信じている人は多いですが、実際にはキャリアのカスタマーサービス対応に依存した単一障害点を生み出しています。

著名な被害者には、数百万ドルを失った暗号資産投資家、情報源を暴露されたジャーナリスト、ビジネスアカウントから資金を引き出された経営幹部などが含まれます。公開されている電話番号を持つ人や、オンライン上に重要な資産を持つ人は誰でも標的になり得ます。

実際の事例

2019年、TwitterのCEOジャック・ドーシー氏自身のTwitterアカウントがSIMスワップによってハイジャックされました。攻撃者はそのアカウントを一時的に悪用して不適切なコンテンツを投稿し、技術的に高い知識を持つ権力者でさえも脆弱であることを公の場で証明する、恥ずかしい事例となりました。

暗号資産保有者は特に狙われやすい存在です。暗号資産の取引は取り消しができないため、攻撃者はSMS 2FAで保護された取引所のアカウントに直接攻撃を仕掛け、被害者が気づく前に資金を移動させてしまいます。

自分を守るために

アプリベースの2FA（Google AuthenticatorやAuthyなど）を可能な限りSMSの代わりに使用する。
ハードウェアセキュリティキー（YubiKeyなど）を重要なアカウントに使用する。
SIM PINまたはキャリアパスコードを設定する — ほとんどのキャリアでは、アカウント変更時に必要となる第2パスワードを追加できます。
電話番号の公開露出を最小限にする — ソーシャルメディアのプロフィールに記載しない。
VoIP番号を公開用の連絡先として使用し、実際の電話番号を非公開にする。
ポートフリーズまたはSIMロック機能についてキャリアに問い合わせ、不正なポーティングを制限する。

SIMスワッピングは、人的プロセスが操作可能である限り、強力な技術的防御策も意味をなさないという現実を思い知らせてくれます。強力な認証方法、慎重な個人データ管理、そしてVPNのようなプライバシーツールを組み合わせてセキュリティを多層化することで、テクノロジーを迂回しようとする攻撃に対する最善の防御が実現できます。

SIMスワッピング中級