eSIMを悪用したSIMスワップの最新手口を観測 巧妙な攻撃を防ぐには:セキュリティニュースアラート
F.A.C.C.T.はeSIMカードの交換や復元機能を利用してユーザーの携帯電話番号を窃取し、オンラインバンキングへのアクセスを試みる新たなSIMスワップ攻撃を観測した。
ロシアのセキュリティ企業F.A.C.C.T.は2024年3月14日(現地時間)、ユーザーのスマートフォンから携帯電話番号を窃取し、オンラインバンキングにアクセスしようとするSIMスワップ攻撃を観測した。eSIMの交換または復元によって携帯電話番号を窃取するという。
eSIMを悪用したSIMスワップの最新手口を観測 詐欺師たちの目的
サイバー犯罪者は、eSIMカードの交換や復元機能を利用して携帯電話番号を窃取している。被害者のSIMカードからeSIMを使用して自分のデバイスに携帯電話番号を転送するなどの手口が確認されているが、こうした手口はロシアでは少なくとも1年前から観測されているという。
F.A.C.C.T.が今回発見した新しいハイジャックスキームでは、eSIMのプロファイル生成と保護を担う「SM-DP+アドレス」のQRコードまたはアクティベーションコードを取得するために、攻撃者自身がオペレーターのWebサイトやアプリケーションを作成して物理カードからeSIMに携帯電話番号を転送している。サイバー攻撃者がこのプロセスを完了すると、ユーザーはすぐにSIMカードを使用できなくなり携帯電話番号にアクセスできなくなる。
同社はこうしたサイバー詐欺の被害者とならないために以下のアドバイスを送っている。
- サービスやデバイスごとにユニークで強力なパスワードを使用する。四半期に1回変更する
- 二要素認証を有効にする(コードを電話で教えたりサードパーティーのリソースに入力したりしないこと)
- SIMカードのブロックや再発行、転送に関するSMSの受信に細心の注意を払う
F.A.C.C.T.で不正防止部スペシャリストを務めるドミトリー・ドゥドコフ氏は「サイバー犯罪者は被害者の携帯電話番号にアクセスすることで銀行やメッセンジャーなどのさまざまなサービスへのアクセスコードや二要素認証を取得できます。最近、このスキームには多くのバリエーションがありますが、詐欺師が最も興味を持っているのはオンラインバンキングサービスです。彼らは携帯電話番号に送信される確認コードが記載されたメッセージを窃取して被害者の口座から全てのお金を引き出し、ローンを申し込みます」と語った。
関連記事
- 日本でも初摘発された“SIMスワップ” 確実な防御策がない中でも“できること”
このコラムでも以前紹介していたサイバー攻撃手法“SIMスワップ”が日本で初めて摘発されました。これから本格化する可能性があるこの犯罪を改めて学び直しつつ、有効な防御策を考えていきましょう。 - Twitterが二要素認証の仕様を変更 これって「アリ」か「ナシ」か?
Twitterは二要素認証の仕様を変更し、SMSを利用した二要素認証を有料ユーザーの「Twitter Blue」だけが利用可能にする旨をアナウンスしました。この変更の「アリ」な部分と「ナシ」な部分を考えてみましょう。 - Copilot for Securityの一般提供が4月1日から開始 従量課金制でより利用しやすく
Microsoftは2024年4月1日から生成AIソリューション「Microsoft Copilot for Security」を一般提供すると発表した。従量課金制でセキュリティアナリストを支援する複数の機能を提供する。 - 被害者の悲しい実体験から学ぶ “本当に役に立つ”ランサムウェア攻撃対策
ランサムウェアが激化する今、「自社のデータをどうすれば保護できるのか」とセキュリティ担当者が皆で頭を悩ませています。本稿は、実際に被害に遭った方の経験を基に「復元」「減災」という観点から“本当に役に立つ”対策を探ります。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.