スマートフォン用アプリなどの2要素認証(2FA)は、データやサービスにアクセスする際に、2種類の本人証明を要求する仕組みです。その典型的なものは、銀行アプリにアクセスしようとすると、登録している電話番号にSMSでパスコードを送ってくるというものでしょう。
しかし、米マサチューセッツ州在住の女性が、2FAを設定していたにもかかわらず、「SIMスワップ」という手口により1万7000ドル(約250万円)を騙し取られたと報じられています。
米メディアWJLA報道によると、シャロン・ハッシーさんはベライゾン(米携帯キャリア)で新しいスマホを購入したお礼のメールを受領。その直後、バンク・オブ・アメリカ(米銀行)はシャロンさんに、口座の連絡先情報の変更を通知してきました。
しかし、シャロンさんは新品のスマホを買ったわけでも、口座情報を変更したわけでもありません。そこで銀行に電話して状況を確認しようとすると、彼女のスマホは携帯電話サービスから遮断されていたため、電話をかけることができませんでした。
その頃、犯人は彼女と同じ番号のSIMカードを自分のスマホに入れて、2FAから送られてきた全てのコードを受け取っていたようです。
SIM CARD ALERT: Sharon Hussey, who lives in Maryland, lost thousands after someone walked into a Verizon store in California & got a new sim card using her phone number. She breaks it all down. @7NewsDC pic.twitter.com/C8vKJX2wM0
— Scott Taylor : 7 News – WJLA TV (@ScottTaylorTV) January 24, 2024
シャロンさんはパソコン経由でオンラインの銀行口座にアクセスしようとしましたが、やはり携帯電話による2FAを要求されてしまいました。それから直ぐに固定電話で銀行に電話を掛けたものの、時すでに遅し。数分以内に、彼女の銀行口座から1万7000ドルが盗まれていた次第です。
犯人の手口は、まず現地のベライゾンストアに入り、シャロンさんの電話番号を使って新しいスマホを購入してアクティベーションを実行。そのため、彼女の携帯は使えなくなっていたわけです。
こうした犯行は、一般的に「SIMスワップ」と呼ばれます。まず標的とする相手の個人情報を調べておき、何らかの手段により身元を偽り、携帯電話会社にSIMを紛失したと連絡し、手持ちのSIMと番号を入れ替えてもらう……というものです。
そしてシャロンさんは2FAを有効にしていたため、窃盗犯がSIMカードを有効にした途端、すべての2FAコードはそちらに行ってしまいました。ご本人も「彼らは私の電話を完全にコントロールしていて、私にはどうすることも出来なかった」と振り返っています。
バンク・オブ・アメリカは3か月間、シャロンさんの要求を拒否し続けたものの、結局は1万7000ドルの返金に応じています。
SIMスワップ被害を避けるための対策として、ロボコール(自動音声による迷惑電話)着信拒否サービスを提供するYouMailのCEOは、SIMにPINコードを設定するよう勧めています。もしもスマホが他人の手に渡ってしまったり、SIMの番号が奪われても、PINを入力しない限り使用できなくなります。
また、シャロンさんのように異変に気づいたとき、すぐに携帯キャリアや銀行に固定電話を掛けて、現在の状況を確認することも必須でしょう。
Source:WJLA
via:PhoneArena