SIMハイジャック犯、仮想通貨アカウントから数十万ドルを強奪。2要素認証を悪用?

eng-logo-2015米フロリダ州の警察当局が、SIMハイジャックにより複数の州での犯行に関与した人物を逮捕したことが報じられています。

被疑者の部屋からは、7つの州で7人の被害者を出したSIMカードが発見されたとのこと。身元の偽装や、仮想通貨アカウントから数十万ドルが盗まれるなど、被害額の大きさや犯行の手口が伝えられました。

SIMハイジャックとはSIMカードの乗っ取りのこと。まず犯罪者はSIMカードを紛失したと通信キャリアに届け出て、自分のSIMカードに電話番号を転送してもらうか、新たなSIMカードを発行してもらうよう手続きします。

これが成功すると、新たなSIMカードのみが有効となり、被害者は事実上SIMを失うという仕組みです。特に高度なツールを使うわけではなく、「被害者のフリをして騙す」詐欺の手口と変りません。そうした手軽さのためか、アメリカでは被害者の増加が報じられていました。

裁判所の記録によると、ミシガン州在住の被疑者の母親が、息子がAT&Tの従業員になりすましていると知って警察に通報したとのこと。捜査当局は被疑者の部屋とPCを捜索し、複数のSIMカードや携帯電話とともに名前や電話番号のリストを見つけたと述べられています。

被疑者および少なくとも8人もの犯行グループは、時には通信キャリア会社の従業員と共謀して、偽のSIM交換請求を成功させ、犯行に使う携帯電話に番号を移し替えたとか。つまり、SIMハイジャックで最もハードルが高い「被害者の身元を偽る」を、キャリア側の人間を巻き込むことでクリアしたようです。

これにより、電話番号と紐付けられた仮想通貨アカウントから数十万ドルを盗み出したとのこと。警察は盗んだ仮想通貨のうち10万ドル以上が資金洗浄されたと発表していますが、被疑者はその件については無罪を主張しています。

仮想通貨やSNSなど、セキュリティ確保のために携帯電話による2要素認証を利用するサービスは増えていますが、それが逆用されてパスワードが盗まれたり、アカウントが乗っ取られる可能性が高くなっています。

SIMハイジャックによりInstagramやAmazon、Netflixなどのアカウントが奪われたという事件も、すでに珍しくなくなっています。本格的な対策が取られるまでは、手元の携帯に不審なメッセージがないか注意し、あった場合は迅速に対応するしかなさそうです。

Engadget 日本版からの転載。

Appleが作ったSIMカードは、AT&TとSprintとT-Mobileを切り換えられる


おおーっ ― 今日の発表でAppleが触れなかった興味深い事実が見つかった。AppleはSIMカードを作っていて、それを使うとAT&T、Sprint、およびT-Mobileの間を差し替えることなく行き来できるらしい(あるいはキャリアを変える時にSIMカードを調べて買う必要がない)。

iPad Air 2の無線通信に関するページで、AppleはこのSIMを ― ふさわしくも ― “Apple SIM” と呼んでいる。

そこにはこう説明されている:

Apple SIMは、米国および英国で一部キャリアの様々な短期プランを選ぶ際の柔軟性を提供します。これで必要になった時はいつでも、あなたに最適なプランを ― 長期契約に縛られることなく ― 選ぶことができます。そして旅行する際にも、地元キャリアのデータプランをその期間中利用することができます。

このApple SIMは、今のところ単体で購入できるものではないようだが(私は古いiPad Miniのために絶対買いたい)、携帯通信付iPad Air 2には同梱されるようだ。

この1枚のSIMは、現在米国ではAT&T、Sprint、およびT-Mobile、英国ではEEに対応している。このリストは、時間と共に、またキャリアがこの選択肢に入って〈いない〉のはビジネスにとって悪いことだと気付くにつれ、長くなっていくと思われる。

[原文へ]

(翻訳:Nob Takahashi / facebook