SIMハイジャック犯、仮想通貨アカウントから数十万ドルを強奪。2要素認証を悪用?

eng-logo-2015米フロリダ州の警察当局が、SIMハイジャックにより複数の州での犯行に関与した人物を逮捕したことが報じられています。

被疑者の部屋からは、7つの州で7人の被害者を出したSIMカードが発見されたとのこと。身元の偽装や、仮想通貨アカウントから数十万ドルが盗まれるなど、被害額の大きさや犯行の手口が伝えられました。

SIMハイジャックとはSIMカードの乗っ取りのこと。まず犯罪者はSIMカードを紛失したと通信キャリアに届け出て、自分のSIMカードに電話番号を転送してもらうか、新たなSIMカードを発行してもらうよう手続きします。

これが成功すると、新たなSIMカードのみが有効となり、被害者は事実上SIMを失うという仕組みです。特に高度なツールを使うわけではなく、「被害者のフリをして騙す」詐欺の手口と変りません。そうした手軽さのためか、アメリカでは被害者の増加が報じられていました。

裁判所の記録によると、ミシガン州在住の被疑者の母親が、息子がAT&Tの従業員になりすましていると知って警察に通報したとのこと。捜査当局は被疑者の部屋とPCを捜索し、複数のSIMカードや携帯電話とともに名前や電話番号のリストを見つけたと述べられています。

被疑者および少なくとも8人もの犯行グループは、時には通信キャリア会社の従業員と共謀して、偽のSIM交換請求を成功させ、犯行に使う携帯電話に番号を移し替えたとか。つまり、SIMハイジャックで最もハードルが高い「被害者の身元を偽る」を、キャリア側の人間を巻き込むことでクリアしたようです。

これにより、電話番号と紐付けられた仮想通貨アカウントから数十万ドルを盗み出したとのこと。警察は盗んだ仮想通貨のうち10万ドル以上が資金洗浄されたと発表していますが、被疑者はその件については無罪を主張しています。

仮想通貨やSNSなど、セキュリティ確保のために携帯電話による2要素認証を利用するサービスは増えていますが、それが逆用されてパスワードが盗まれたり、アカウントが乗っ取られる可能性が高くなっています。

SIMハイジャックによりInstagramやAmazon、Netflixなどのアカウントが奪われたという事件も、すでに珍しくなくなっています。本格的な対策が取られるまでは、手元の携帯に不審なメッセージがないか注意し、あった場合は迅速に対応するしかなさそうです。

Engadget 日本版からの転載。

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。