SIMスワップ攻撃:ハッカーがあなたの電話番号を乗っ取る方法
あなたの電話番号は、実はあなたのお金を守るための秘密の鍵です。銀行、メール、仮想通貨取引所など、あらゆるサービスが、あなたが本人であることを証明するために、通常はコードをテキストメッセージで送信することで、あなたの電話番号を利用しています。SIMスワップ攻撃は、その鍵を奪い、見知らぬ人に渡します。多くの場合、あなたが画面の電波状況が「圏外」に変わったことに気づくまでのわずかな時間で、攻撃は成功します。あなたが再び接続する頃には、攻撃者はあなたのパスワードをリセットし、口座から資金を抜き取っている可能性があります。仮想通貨保有者にとって、被害はさらに深刻です。一度ウォレットからコインが流出すると、誰もそれを取り戻すことはできません。
このガイドでは、SIMスワップ攻撃とは何か、その仕組みを段階的に説明し、なぜそれが仮想通貨窃盗の常用手段となっているのか、そして実際にそれを阻止できるいくつかの対策について解説します。
SIMスワップ攻撃とは何か、そしてなぜそれが有効なのか
SIMスワップ攻撃とは、二段階認証の弱点であるテキストメッセージを悪用したアカウント乗っ取り詐欺の一種です。SIMとは、加入者識別モジュールの略で、携帯電話番号と端末を紐付ける小さなチップのことです。SIMスワップ攻撃では、攻撃者はあなたの端末に直接触れることはありません。代わりに、攻撃者は携帯電話会社を説得し、あなたの番号を自分が持っている新しいSIMカードに移行させます。この移行が完了すると、セキュリティコードを含む、あなた宛てのすべての通話とテキストメッセージが、攻撃者の端末に届くようになります。
人々が誤解しているのはこの点です。これは電話のハッキングでも、暗号化アルゴリズムの脆弱性でもありません。カスタマーサービスのハッキングなのです。悪用されている弱点は、通信事業者の担当者と、電話番号を管理することで本人確認ができるという誤った思い込みです。専門用語を取り除けば、SIMスワップとは、誰かが企業を説得してあなたの番号を漏洩させ、その番号を使ってあらゆるセキュリティ対策を講じる行為に他なりません。セキュリティ研究者がSIMスワップ詐欺を個人情報窃盗に分類するのには、それなりの理由があります。攻撃者の目的はあなたの金銭だけではありません。攻撃者はしばらくの間、あなたのデジタルアイデンティティ全体を掌握し、そのすべてが、あなたが自分だけのものだと思っていた普通の携帯電話アカウントを通して行われるのです。
SIMスワップ攻撃の仕組みをステップバイステップで解説
ほぼ全てのケースで同じ3つの手順が踏まれ、いずれも高度なハッキング技術は必要ない。必要なのは忍耐力と説得力のある話だけだ。
ステップ1:個人情報の収集
まず、攻撃者はあなたのプロファイルを作成します。ダークウェブで販売されている過去のデータ漏洩情報、個人情報の入力を誘導するフィッシングメール、そしてあなた自身のソーシャルメディアから個人情報を抜き取ります。誕生日、ペットの名前、流出したデータベースからのカード番号の下4桁など、これだけで電話であなたになりきれるだけの個人情報が揃います。あなたが公開している情報が多いほど、この作業は安価になります。これらの個人データのほとんどは、最近盗まれたものではありません。何年も前に忘れ去られたデータ漏洩で流出したもので、攻撃者は単に散らばった断片を寄せ集めて、説得力のある全体像を作り上げているだけなのです。
ステップ2:運送業者にあなたになりすます
次に、攻撃者はあなたの携帯電話会社にあなたになりすまします。時には、紛失または故障した携帯電話に関する作り話の電話をかけることもあります。また、偽の身分証明書を持って小売店に押しかけることもあります。最悪の場合、攻撃者は通信会社の従業員に賄賂を渡したり、勧誘したりして、防御体制全体をたった一人の不正な内部関係者に変えてしまいます。これはコードではなくソーシャルエンジニアリングであり、サポートスタッフが親切に振る舞い、問い合わせを迅速に処理するように訓練されているため、この手口が成功するのです。
ステップ3:株式交換と買収
通信事業者が新しいSIMカードを有効化すると(これが攻撃全体の決定的な瞬間です)、あなたの実際の電話は圏外になります。これで攻撃者は番号を乗っ取ります。攻撃者はあなたのメールアカウントまたは交換局にアクセスし、「パスワードを忘れた場合」をクリックして、リセットコードがテキストメッセージとして届くのを待ちます。攻撃者はそのSMSを傍受し、パスワードをリセットしてアクセス権を取得します。メールアカウントを乗っ取った攻撃者は、それに紐づけられた他のすべてのアカウントにも連鎖的に侵入します。アカウントの完全な乗っ取りは、ほとんどの人が電話が使えなくなった理由に気づくずっと前に、わずか数分で完了する可能性があります。
SIMスワップが暗号通貨窃盗の温床となる理由
多くの攻撃によって銀行口座の資金が流出する可能性はあるが、銀行は不正送金を取り消すことができる。しかし、仮想通貨はそうではなく、まさにその違いこそが、SIMスワップ攻撃がこの金融分野で非常に深刻な被害をもたらす理由なのである。
SMS 2FAは単一障害点である
ほとんどの取引所では、ユーザーがテキストメッセージで送信されるコードでアカウントを保護できるようにしています。これは安全だと感じられますが、その防御策全体が、テキストメッセージを受信するのは自分だけであるという前提に基づいていることに気づけば、そうではありません。SIMスワップは、この前提を完全に覆します。傍受されたコード1つでログインがリセットされ、安全網となるはずのSMS二段階認証が、無防備な扉となってしまいます。攻撃者は、あなたの番号を通じてパスワードをリセットできれば、あなたのパスワードは必要ありません。さらに悪いことに、多くの取引所ではテキストメッセージでパスワードを忘れた場合に復元できるため、同じ手口でパスワード自体も無効になります。SMSコードは2つ目のロックではなく、唯一のロックであり、SIMスワップが鍵を握っているのです。機関でさえも被害に遭います。2024年には、SEC自身のXアカウントがSIMスワップによって乗っ取られ、偽のビットコインETF承認を投稿するために使用され、一時的に市場を混乱させました。
設計上不可逆
銀行は送金を凍結し、請求を取り消すことができます。しかし、ブロックチェーンはそうはいきません。攻撃者があなたのコインを自分の管理するウォレットに移動させてしまうと、送金は確定し、チャージバックもサポート窓口も利用できなくなります。この不可逆性は仮想通貨の特徴ですが、SIMスワップを単なる恐怖から永久的な損失へと変えてしまうため、攻撃者は既知の仮想通貨保有者を狙うのです。金額を見れば、どれほどの損失が懸念されるかが分かります。
| 場合 | 年 | 額 | どのようにしてそれが起こったのか |
|---|---|---|---|
| マイケル・ターピン対AT&T | 2018 | 2400万ドル | 番号が移行され、仮想通貨口座から資金が引き出されました。 |
| FTX破産日強盗 | 2022 | 約4億ドル | 取引所の崩壊時のSIMスワップ |
| ワシントンDCでのビットコイン盗難 | 2024 | 4,100 BTC、約2億6,300万ドル | ソーシャルエンジニアリングとSIMスワップ、9件の有罪判決 |
| T-Mobileの仲裁被害者 | 2020 | 3300万ドルが授与される | 通信事業者のセキュリティ障害、繰り返しの交換 |
| SEC Xアカウントの乗っ取り | 2024 | 市場を動かす偽投稿 | 代理店アカウントのSIMスワップ |
SIMスワップ攻撃は実際どれくらい頻繁に発生しているのか?
正直なところ、これは矛盾した事実だ。攻撃件数だけを見れば稀だが、被害者一人当たりの被害は壊滅的で、公式発表の数字は暗号資産の損失を大幅に過小評価している。
まず、報告された合計額を見てみましょう。FBIのインターネット犯罪苦情センターは、2024年に982件のSIMスワップに関する苦情を記録し、被害額は約2600万ドルでした。これは、2022年のピーク時の約7260万ドルから減少しています。マイクロソフトは、SIMスワップを使用するなりすまし攻撃は全体の0.3%未満であり、通常のフィッシングに比べるとはるかに少ないと指摘しています。これらの数字だけを見ると、肩をすくめるかもしれません。
| 年 | 報告されたSIMスワップ被害(FBI IC3) |
|---|---|
| 2022 | 7260万ドル |
| 2023 | 4880万ドル |
| 2024 | 2,600万ドル(苦情件数982件) |
さらに詳しく見てみましょう。公式のSIMスワップによる損失が約2600万ドルだったのと同じ年に、 ワシントンDCの1件の事件では約2億6300万ドル相当のビットコインが移動し、 FTXの強奪事件では約4億ドルが奪われました。どちらもSIMスワップの項目には入りません。捜査官はこれらをより広範な詐欺または窃盗のカテゴリーに分類しているからです。重要なのは、この攻撃が無害だということではなく、稀で、巧妙で、特に仮想通貨など、1回の成功で1000回の失敗を補えるような、実際のお金を持っている人々を標的にしているということです。平均すると、2024年に報告されたSIMスワップ詐欺1件あたりの被害者の損失は約2万6000ドルで、これはそもそもSIMスワップとして報告されるほど小規模なケースに過ぎません。数千万ドル、数億ドル規模の仮想通貨窃盗事件は、全く別の帳簿に記録されています。
SIMスワップ攻撃の警告サイン
SIMカードの交換処理中は通常一度だけ警告が表示され、到着した瞬間からカウントダウンが始まります。ここでは時間ではなく分単位の対応が重要です。
最も分かりやすい兆候は、理由もなく携帯電話のサービスが途切れることです。バッテリーは満タンで、通信障害もなく、周りの人はみんな電波が立っているのに、あなたの携帯電話だけが突然圏外になります。都心部では、これは単なる不具合ではありません。おそらく何らかの異常事態なので、警戒してください。その他の兆候は、まだ使えるデバイスに現れます。昨日まで使っていたアカウントからロックアウトされます。頼んでもいないパスワードリセットのテキストメッセージが届きます。通信会社から、頼んでもいない新しいSIMカードの「確認」メールが届きます。これらの兆候が他のモバイルデバイスにも現れたら、誰かがあなたの携帯電話番号を乗っ取ろうとしていると考えてください。次に何をするにしても、迅速に行動してください。攻撃者は既に行動を起こしているからです。
SIMスワッピングを防ぎ、身を守る方法
悪意のある犯罪者がコールセンターをソーシャルエンジニアリングで攻撃するのを完全に阻止することはできませんが、あなたの電話番号を彼らにとって無価値にすることは可能です。その中でも、たった一つの変更が他のどの変更よりもはるかに重要です。
SMSの割引を受けよう
何よりも重要な行動が一つあります。価値のあるものの第二認証にテキストメッセージを使うのをやめましょう。取引所、銀行、メールへのログインはすべて認証アプリ、あるいはもっと良いのは、攻撃者が直接盗まなければならないハードウェアセキュリティキーに切り替えましょう。これはもはや偏執的な心配事ではありません。2024年後半、FBIとCISAは国民に対しSMSコードの使用を完全にやめるよう勧告し、NISTの最新の連邦身元確認規則では、機密性の高いアカウントにはSMSはもはや十分ではないとされています。サービスがテキストメッセージしか提供していない場合は、アプリまたはキーをサポートする場所に資金を預けましょう。理由は簡単です。認証コードはデバイスにのみ保存されます。ハードウェアキーはコピーしたり、電話で巧みに聞き出したりすることはできません。どちらも電話番号が盗まれたときに一緒に持ち去られることはないので、結局は何もロック解除できない番号を手に入れることになります。
キャリアをロックして足跡を残しましょう
次に、電話番号自体を強化しましょう。SIM PINを設定するか、キャリアで番号移転ロックを設定すれば、PINなしでは番号変更ができなくなります。現在、多くのプロバイダーがこれを無料で提供しており、例えばVerizonのSIM Protectionは、ユーザーがオフにするまで番号変更をブロックします。強力で固有のパスワードとパスワードマネージャーを使用すれば、一度のデータ漏洩で全てがロック解除されることはありません。また、暗号資産の保有状況を公表するのはやめましょう。公に自慢することは、攻撃者が標的を選ぶ際の最初の手段となるからです。静かなウォレットは、騒々しいウォレットよりも盗難に遭う確率がはるかに低くなります。
SIMスワップ攻撃を受けた場合の対処法
SIMスワップ詐欺の被害の深刻さは、迅速な対応にかかっています。手順通りに進めてください。まず、別の電話から通信事業者に連絡し、SIMハイジャックを報告して番号を取り戻してください。次に、まだ信頼できる端末から、メールアカウントと取引所アカウントのパスワードをリセットし、すべてのアカウントからSMSによる二段階認証を解除してください。仮想通貨を保有している場合は、取引所での出金を凍結し、可能であれば資金を移動してください。その後、すべての記録を残し、FBIのインターネット犯罪苦情センターとFTCに報告してください。これらの対策は、既に発生した窃盗を元に戻すことはできませんが、進行中の攻撃を阻止し、アカウント乗っ取りが拡大する前に食い止めることができます。
SIMスワップ攻撃は最も脆弱な部分を狙う
SIMスワップ攻撃は、あなたのセキュリティを破るのではなく、あなたの貯蓄を守るために作られたわけではない電話会社を経由して、セキュリティを迂回します。あなたの電話番号は、本来身分証明書として使われるべきものではありませんでしたが、私たちはそれをあらゆる重要なものに結びつけてきました。お金を扱うものに関しては、安全な前提は単純です。SMSによる二段階認証は既に破られているとみなし、ある日突然サービスが停止する前に、今すぐアプリやハードウェアキーに移行しましょう。この対策は面倒で、徹底的で、約10分で済みます。そこで、重要な質問はただ一つです。もし今あなたの電話が使えなくなったら、あなたが電話を取り戻すまでに、見知らぬ人がどれだけの金額にアクセスできるでしょうか?
