数年前から、SIM ジャッキング（その中でも、悪意のハッカーが被害者の金融関連の情報やデジタルライフの制御の乗っ取りを目的とするもの）の報告を目にするようになりました。SIM ジャッキングとは何で、どのように実行されるものなのでしょうか。これらの攻撃によって、ハッカーは、他人の携帯電話の番号だけでなく、多くの場合はデジタルライフも乗っ取ることができます。犯罪者は通常、ソーシャルエンジニアリングによって携帯電話会社の従業員に最初に接触し、電話番号を別の SIM カードに移行しようとします。基本的には、仮想通貨や PayPal でこれらの従業員に報酬を持ちかけ、被害者のデバイスの SIM カードを攻撃者が所有する SIM カードにサービスを移行するよう依頼します。この取り引きが成立すると、被害者の電子メール、ソーシャルメディア、イベントの支払口座などを犯罪者が乗っ取り、回復する見返りとして仮想通貨を要求します。標的になることが多いのは、有名人やソーシャルメディアのインフルエンサー、企業の上層部の従業員などです。

Motherboard が最近、このような事件を報告しましたが、その記事によると、起業家の Jared Goetz 氏が SIM ジャッキングの標的になり、クレジットカードを不正使用されて、電話もメールアカウントも利用できなくなりました。Goetz 氏は攻撃者と（ある種の）友達になることに成功し、最終的には交渉によって自分のデジタルライフを無事奪還することができました。しかしながら、多くの被害者が彼ほど幸運であるわけではありません。SIM ジャッキングのほとんどの標的はかなりの被害を受けることになり、金銭を失う人もいれば、ソーシャルメディアのフォロワーを失ったり、貴重なソーシャルメディアプラットフォームのユーザハンドルを失ったりする人もいます。

どのような人間が SIM ジャッキング攻撃を仕掛けるのか

SIM ジャッキングには、何人もの人間が介在します。この策略は階層化されているため、具体的にどのような人間が関わるのか検証してみることにしましょう。

サイバー犯罪者がこれらの攻撃の首謀者であることは明らかであり、彼らが電話を乗っ取って脅迫しようとします。ただし、すべての犯罪者が携帯電話会社の従業員に金銭的取り引きを持ちかけるわけではありません。多くのデータ漏洩が毎年発生するようになったことで、SIM ジャッキングが注目されるようになり、犯罪者が SIM ジャッキング攻撃を実行するのに十分な被害者のデータをどのように収集するのかに興味を持つ人が増えました。ダークウェブには、社会保障番号や住所を始めとする個人識別情報の無料あるいは有料のデータダンプが数多く存在します。これらのいずれの情報も、携帯電話会社の従業員に報酬を持ちかけるのではなく、それらの会社を騙す目的で使用できるものです。

サービスプロバイダから見れば、SIM ジャッキングを行う犯罪者から賄賂を受け取る従業員も攻撃者と同じように悪質です。しかしながら、前述のように知らぬ間に攻撃者の手助けをしてしまう場合もあります。以前に働いていたことがある経験から、私自身は、携帯電話のサービスプロバイダの従業員が電話を受け、相手から提供される情報を信じてしまうことが少なくないことを知っています。これはどういう意味かと言うと、ほとんどの人は、正規の顧客からの電話と、流出した情報から個人データを入手した、実際には犯罪者である人間からの電話を区別できないということです。電話を受けた従業員は最初に本人確認のためのいくつかの質問をし、相手の答えから、本人であるかどうかを判断します。

SIM ジャッキングについては、被害者にも一定の責任があるのではないかという議論があるでしょう。携帯電話のサービスプロバイダはすべての契約者に対してアカウントを強化するための方法を提供していますが、その存在や必要な手順を知らない人も少なくありません。どのような状況においても、自分がハッカーの標的になる可能性を考える人は少なく、ましてや、SIM ジャッキングの被害者になるとは想像もしていないでしょう。しかしながら、携帯電話会社は、顧客が自分のアカウントにセキュリティ対策を追加するためのオプションを提供しています。このような追加セキュリティ対策の例としては、PIN コードやその他の追加手順を必要にする方法などがあり、たとえば、アカウントの重要な情報を更新する際には、事前に定義した秘密の質問に答える必要があるといった手順が必要になります。こういった追加手順は、多要素認証ソリューションで必要とされる第 2 あるいは第 3 のトークンと同じような働きをすることになるでしょう。

SIM ジャッキングの防止、検知、対応のための実用的アドバイス

保護を強化するために実行できる 1 つ目の手順は、携帯電話会社のアカウントの保護を強化することです。携帯電話会社のカスタマーサポートの窓口に電話し、本人確認に必要な情報を知る他人が電話をかけてきた場合に備えて追加できる手順がないか問い合わせ、アカウントのどのような変更にあたっても、秘密の質問や PIN コードが要求されるようなオプションを提供していないか確認します。もう 1 つの手順としては、自分のすべてのアカウントに個人の携帯電話番号を使うのを止めることでしょう。Google Voice によく似た、他の電話番号を使えるサービスもあります。このようなオプションで提供される代わりとなる電話番号をオンラインアカウントに使えば、電話の SIM カードに紐付けされることはありません。

SIM ジャッキング攻撃の被害者になってしまって電話が使えなくなってしまったり、犯人から直接連絡を受けたりしたとしても、すべてを失うわけではありません。被害が明らかになった時にどこにいて、時間帯がいつであるかが大きな問題ではありますが、最初に行うべきことは、すぐに携帯電話会社に連絡することです。24 時間／365 日のカスタマーサポート窓口がある場合は、すぐに問題を説明して、本人が制御を取り戻すのを防ぐために、犯人がアカウント情報を変更していないかどうかを確認します。犯人が携帯電話の制御を乗っ取ってメールやソーシャルメディアのアカウントを手に入れるまでには、おそらく、ある程度の時間が必要です。自分のアカウントの制御を維持するため、コンピュータからアカウントにログインしてみます。電子メールアカウントやその他のアカウントにログインできなくなってしまった場合は、プロバイダにサポートを求め、他に利用できるオプションを提案してもらう必要があるでしょう。

一般的に電子メールは多数のサービスアカウントに関連付けられているため、電子メールアカウントを取り戻して安全な状態に戻すには、「パスワードを忘れた場合」オプションを使って、攻撃者に自分の他のアカウントも乗っ取られるのを防止します。さらに、他のプロバイダにも連絡して、アカウントの作成時に使用されていた古い電子メールアドレスか電話番号を確認し、新しい情報に更新するよう依頼して、幸運を祈ります。

前述の解説からもわかるように、SIM ジャッキング攻撃は簡単なものではなく、成功すれば被害者が多くの時間と金銭を失うことになります。被害者にならない最善の方法は、日頃から携帯電話のアカウントを携帯電話会社が提供している最も厳格なセキュリティ設定にし、どのオンラインアカウントでもセキュリティが適切に保たれるようにしておくことです。手始めに、自分のデジタルライフ全体のセキュリティ状態を調べて、改善の必要がある箇所を特定することをお勧めします。アカウントごとに強力で一意のパスワードを設定し、可能な場合は必ず多要素認証を利用し、フィッシングにつながる恐れのある不審なメールや電話に十分に注意し、ソーシャルメディアで個人情報を過剰に公開するのは止めましょう。SIM ジャッキングは新しく恐ろしい脅威ではありますが、セキュリティのベストプラクティスによって回避できる、数あるオンライン攻撃の 1 つであることに変わりありません。