プリンストン大学の研究者4人が、米国の大手携帯電話会社5社が脆弱な認証技術を導入しており、顧客がSIMスワッピング攻撃に対して脆弱な状態にあり、被害者の電話番号が詐欺師の管理下にあるデバイスに転送されるという問題を抱えているという報告書を発表した。
このような攻撃は長年問題となってきましたが、電話番号の認証を必要とする二要素認証を導入するウェブサイトが増えるにつれ、特に深刻な被害をもたらしています。昨年9月、TwitterのCEOであるジャック・ドーシー氏は、SIMスワップ攻撃を受け、一時的にTwitterアカウントを利用できなくなりました。
ケビン・リー、ベン・カイザー、ジョナサン・メイヤー、そしてアーヴィンド・ナラヤナンは、「SIMカード交換における携帯電話事業者認証の実証的研究」と題した論文[PDF]の中で、AT&T、T-Mobile US、Tracfone、US Mobile、そしてVerizon Wirelessが、携帯電話番号に関連付けられたSIMカードの変更リクエストをどのように処理しているかを調査しました。その結果、これらの企業は、攻撃者が容易に悪用できる安全でない認証方法に依存していることが分かりました。
「SIMスワップ攻撃はローテクですが、壊滅的な被害をもたらします。攻撃者は通信事業者に電話をかけ、ユーザーになりすまして、攻撃者が管理する新しいSIMカードへのサービス移行を要求します」とナラヤナン氏はTwitterで説明しました。「それだけでも十分危険ですが、何百ものウェブサイトが2要素認証にSMSを使用しており、アカウントを危険にさらしています。」
10回中10回…攻撃は成功
研究者たちは、プリペイドアカウントを標的とした5つの通信事業者それぞれに10回のSIMスワップリクエストを送信しました。昨年5月から7月にかけて、彼らは一連の攻撃をほぼ成功させました。攻撃の成功率は、AT&T(10回中10回)、T-Mobile US(10回中10回)、Tracfone(10回中6回)、US Mobile(10回中3回)、Verizon Wireless(10回中10回)でした。
研究者らは論文の中で、これらの企業はSIMの変更を要求する人がその権限を持っていることを確認するためにさまざまな認証方法を使用していると説明している。
使用される方法には、個人情報(住所、電子メール アドレス、生年月日)、アカウント情報(クレジットカードの下 4 桁、有効化日、最終支払い日)、デバイス情報(IMEI、ICCID)、使用情報(最近発信した番号)、既知の情報(PIN/パスワード、セキュリティの質問)、発信者が所有している情報(SMS または電子メールで送信されたワンタイム パスコード)の検証の試みが含まれます。
研究者たちは、既知またはデバイスに送信されるパスコードを除けば、ほぼすべての認証方法は安全ではないと主張している。必要な認証データは推測可能か、攻撃手法やカスタマーサービス担当者の口封じが不十分なため入手不可能である。
論文によると、攻撃の実行者は「ソーシャルエンジニアリングの戦術を一切使っていない」が、少なくとも記載されている手法の1つ(電話のユーザーを誘い込んで自分に電話をかけ直させ、最近の通話記録を操作する)は、ソーシャルエンジニアリングの一形態であるようだ。
研究者らはまた、電話ベースの認証に依存している140以上のウェブサイトで実施されている認証ポリシーを調査し、攻撃者が被害者のパスワードを知らなくても、SIMスワップによってユーザーアカウントが乗っ取られる可能性があるウェブサイトを17件発見した。
論文では、その著者の一人であるプリンストン大学のコンピュータサイエンスの准教授アルビンド・ナラヤナン氏が、同僚らとともにSIMスワッピングの実態を調査していた際に、SIMスワッピングの被害者になったと指摘している。
...それは私にとって個人的なことになりました
「この調査をしているうちに、個人的にも不安な状況になってきました」とナラヤナン氏はTwitterで説明した。「土曜日の深夜0時頃、サービスが新しいSIMカードに移行中だと知らせる、恐ろしいメッセージが届きました。攻撃者の賢い行動です。彼らは、その夜中に私のオンラインアカウントに侵入しようとしていたのです。」
彼は、その夜は生まれたばかりの赤ちゃんの世話で眠れなかったため、迅速に対応して被害を最小限に抑えることができたと語った。携帯電話会社が彼を認証できなかったにもかかわらず(ワンタイムパスワードをメールで送るシステムが故障したため)、彼と同僚はちょうど携帯電話会社の認証プロトコルの脆弱性を示す分析を完了していたため、その情報を使ってカスタマーサービス担当者を説得し、アカウントを復元することができた。
この論文の調査結果を受け、ロン・ワイデン上院議員(オレゴン州民主党)は、FCCに対し、この問題への対策を強化するよう強く求めた。「SIMスワップに対する保護に関しては、消費者は携帯電話事業者の言いなりになっている」とワイデン議員はTwitterで述べた。「FCCは、SIMスワップに対する保護システムが不十分な場合、通信事業者に責任を負わせることで、消費者を保護するための対策を強化する時が来た」
T-Mobile US社はコメント要請にすぐには応じなかったが、顧客認証に通話記録を利用するのをやめたと研究者らは主張している。
5G SIMスワップ攻撃は産業用IoTにとって今よりもさらに悪影響を及ぼす可能性がある
続きを読む
研究者らの調査結果を受けて、USモバイルはブログ記事を公開し、この論文は電話によるSIMスワッピング攻撃に焦点を当てており、同社におけるSIMスワッピング依頼のわずか1%を占めるに過ぎないと述べた。同社はいずれにせよ、カスタマーサービス担当者との電話でのSIMスワッピングは今後許可しないとし、今後はアプリまたはウェブダッシュボードの認証済みユーザーからのみ、このような依頼を開始できるとしている。
AT&Tは、SIMスワッピング攻撃は「業界全体の問題であり、AT&Tに限った問題ではない」としてコメントを控えた。同社の広報担当者は、通信業界団体CTIAに問い合わせることを推奨した。CTIAは、携帯電話会社はセキュリティ強化に取り組んでおり、消費者もより積極的に行動すべきだと述べた。
CTIAのシニアバイスプレジデント兼最高コミュニケーション責任者であるニック・ラドラム氏は、メールで次のように述べています。「無線通信事業者は、消費者の保護とSIMスワップ攻撃への対策に尽力しています。私たちはサイバーセキュリティ対策を継続的に見直し、更新し、新たな消費者保護策を開発しています。詐欺対策には私たち全員が果たすべき役割があり、消費者の皆様には、本調査で紹介された多くのツールを活用して個人情報を保護することをお勧めします。」
ベライゾン・ワイヤレスはコメント要請に直ちには応じなかった。®
