FBIラスベガス現地事務所のSIMカード・スワッピング詐欺リスクと対策の警告

 10月21日、FBIラスベガス現地事務所(field office )は、SIMカードスワップとその潜在的な壊滅的結果について一般市民を教育したいという警告記事を公表した。(Nortonの警告リリースも参照されたい)

 2021年、FBI・インターネット犯罪苦情センター(Internet Crime Complaint Center:IC3)に寄せられた苦情によると、SIMスワップの被害者は全米で1,650人を超え、全国で8,600万ドル以上(約129億円)の損失額が発生している。ラスベガスがあるネバダ州はトップ10に入っており、42人の犠牲者が最大50万ドル(約7,500万円)を失った。すべての主要なモバイル・プロバイダーがすべて利用された。

  この問題に関し、わが国ではそもそも論でeSIMについての解説記事は多く存在するものの、SIMスワップとその潜在的な壊滅的結果に関する解説は皆無である。わが国で解説があるのは、以下注書きで述べるとおり米国のセキュリティ問題の専門家レポートの抄訳、仮訳のみである。

  今回のブログは、この問題点につき、被害が多くなる前に消費者に迅速な情報提供を行うべく急遽まとめた。まず、(1)FBI ・IC3の警告内容、一方で(2) わが国のインターネット詐欺申立・救済窓口の実態は如何という内容で整理した。

1.FBI・IC3の消費者への警告内容

 リリース文に補足説明を加えながら仮訳、解説する。

(1) SIMとはいかなるものか?

 SIMまたは加入者識別モジュール(Subscriber Identity Module)とは、モバイル・デバイスに挿入された小さなメモリカードで、これにより電話をかけたり、テキスト文を送信したり、連絡先を保存したりできる。それはあなたの電話番号に固有である。このチップを取り外し、別の電話に挿入し、番号に電話をかけると、その電話がアクテイブになるものである。

(2) eSIMとは何か?

 eSIMまたは組み込み加入者識別モジュール(Embedded Subscriber Identity Module)は、デバイスにインストールされているソフトウェアの一部であり、物理的なSIMチップの必要性を排除するものである。

(3) SIMスワップとはいかなる行為をいうのか?

 SIMスワップ自体は毎日発生し、常に悪意のある違法行為ではない。あなたは携帯電話を紛失したことがありますか? あなたがもともと携帯電話を持っている場合、あなたはおそらくあなたの携帯電話会社に足を踏み入れ、新しい電話を購入し、そしてあなたの同じ電話番号を保つことができるし、そのこと自体有益である。あなたは順調にSIMスワップを完了したことになる。

 しかし、犯罪者は、ソーシャルエンジニアリングを通じて被害者の身元を仮想し、被害者の電話番号をSIMカードと犯罪者の管理下にある電話番号に移植するために、携帯電話会社の「プラグ」を欺くか、または金銭を支払うのである。eSIMは、ある程度のセキュリティを強化するが、携帯電話会社モバイルキャリアの「プラグ」サービスはこの犯罪を支援し続けている。(注1)(注2)

(4) 何が問題なのか。

 電話番号にはいくつのアカウントが接続されているか? 多要素認証があるアカウントはいくつあるか? SMS多要素認証を持っているアカウントはいくつあるか? 

 サイバー犯罪者は、あなたの人生を完全に支配するために1人だけの詐欺者をでっちあげる。あなたの電話番号をなりすまして装備し、犯罪者はあなたの電子メールのパスワードをリセットすることができるのである。(注3)

 詐欺師の手順を見てみよう。パスワード>テキストコードを忘れた場合 > ログインの成功時にパスワードをリセットするにはここにクリック>ログインが成功した

 このように受信トレイと電話番号の両方にアクセスできるようになったので、犯罪者は銀行口座、暗号資産ウォレットソーシャルメディア・アカウントクラウド・ストレージ(注4)、機密文書などにアクセスできる。ほとんどの犯罪者は、被害者の暗号資産を盗むという最終ゲームのためにSIMスワッピングに取り組んでいるが、一度暗号資産が空になると、他の伝統的な金融口座に対象を替え、他のタイプの個人情報の盗難に使用されるために個人識別符号(PII)を販売するのである。

(5) 被害にあわないためにどうすればいいのか。

①PINを設定する。ほとんどの携帯電話会社では、アカウントの変更に必要なPINまたはパスワードを設定できる。

②アカウント全体につき強力でユニークなパスワードを採用する

③閲覧画面ですべてを投稿することをやめる。SmellyCat (注5)が大ヒットしたとき、あなたは興奮していたことを知っているが、あなたの壮大な財布の成長のスクリーンショットを投稿すると、SmellyCatの終焉よりもあなたを傷つけた。そのたった1回の投稿は、犯罪者がどの財布を使用しているか、そこにどれだけの暗号資産があるか、そして潜在的にあなたのユーザー名を示した。

④暗号資産をコールドス・トレージに移行する

⑤アカウントには非 SMS 多要素認証を使用する。代わりに、アプリケーションベースのオーセンティケータを選択すべきである。

⑥あなたは携帯電話が通じないデッド・ゾーンにいるか、それともSIMを交換したか? 原因不明のサービスが受けられないことの経過を十分認識すべきである。

(6)ああ、私の携帯はスワップされた! 、自分がSIMスワッピングの犠牲者であると思われるときはどうすればよいか。

①携帯電話会社に直ちに連絡して、電話番号の管理権を取り戻すべきである。これはおそらく直接の会社への訪問を必要とするであろう。

②取引金融機関の金融口座にアラートを掲載する。

③関係機関へ早期通知を行う。最初の数回の暗号資産の転送が発生すると、これらの資産を取り戻すことは非常に困難である。法執行機関への早期通知は、回復プロセスと調査に役立つ。www.ic3.gov にあるFBIのインターネット犯罪苦情センターに被害の経緯、活動内容等を直ちに報告されたい。

2.わが国のインターネット詐欺申立・救済窓口の実態は如何

 わが国で法執行機関であるFBI のサイバー専門機関であるIC3に該当する機関はあるか。筆者なりに調べてみたが、以下述べるとおり、「ない」というのがその答えである。

 つまり、特定の犯罪被害救済窓口や調査・研究機関はあるが、本格的な法執行機関ではなく、また警視庁や県警への相談するにしても、専門性の高いこれらの問題に具体的に取り組むには組織に見て現状は不十分といえる。

 その中で最高検察庁は2021年4月に最高検察庁・先端犯罪検察ユニット(JPEC)を鳴り物入りでスタートさせ、米国FBIとの連携で立件に至った事例をメデイア記事に載せている。

 しかし、筆者が詳細に見るにつけ、その活動の実態はIC3と比較できるレベルとは思えない。出来る範囲でわが国の具体的取組みの内容を紹介する。

(1) 振り込め詐欺救済法に基づく公告

預金保険機構の振り込め詐欺救済法に基づく公告が限定的であるが被害者保護、補償対策に関し参考になろう。

(2) わが国においても警察庁検察庁を中心とする法執行機関の役割

 中心となるべきであろう。ちなみに、2022年4月10日付け 日経記事は「最高検が『先端犯罪検察ユニット(JPEC)』を発足させて4月で1年となる。犯罪手口や対応策を各高検、地検と共有するとともに、既に約150の事件で捜査をサポートした。米連邦捜査局(FBI)との連携が奏功し、立件につながったケースもある。最高検サイバー班、捜査支援150件 発足1年で海外連携も」とある。このJPECは2022年8月15日(最終更新)にfacebookページ運用方針を以下のとおり、公表している。

 先端犯罪検察ユニット(JPEC)では、広報活動の一層の充実のため、公式Facebookページ(以下「当ページ」という。)を取得し、情報発信を行います。

 Facebookを通じた情報発信に当たり、当ページの運用方針を次のとおり定めます。(以下、略す)。

 しかし、実際にfacebookを見ても「このコンテンツは現在ご利用いただけません」が表示されるのみである。

(3)警察庁の取組み

 警察庁の2021年3月8日広報資料「スマートフォン決済サービスを利用した不正振替事犯に係る対策について」を読んだ。

 内容的に見て、今回取り上げたeSIM SWAP問題への取組みにつながる対応と考える。しかし、国際犯罪グループに対する取り組みとしては決して十分とは思えない。

(4) 独立行政法人情報処理推進機構(IPA:Information-technology Promotion Agency, Japan)

 最新のサイバーーセキュリテイ問題につき。調査研究、啓蒙活動機関ではあるが、IC3のような苦情受け付け、告発機関ではない。

 なお、IPAにおいてソーシャルメディア公式アカウントを有しており、実際にアクセス可である。

(5) (一財)日本サイバー犯罪対策センター(JC3)

 同センターは産業界、学術機関、法執行機関等、それぞれが持つサイバー空間の脅威への対処経験を集約・分析し、その結果を共有することで、サイバー空間全体を俯瞰し、サイバー犯罪等のサイバー空間の脅威の大本を特定・軽減・無効化することを目指す非営利団体といえる。

 しかし、米国のIC3とは全く機能や権限が異なることも明らかである。

***********************************************************************************

(注1) SIMスワップ詐欺の仕組み

 SIMスワップ詐欺は、別名「SIMハイジャック」や「SIM分割」とも呼ばれ、一種のアカウント乗っ取り詐欺として知られている。この攻撃を仕掛けるにあたり、攻撃者は標的についてあらゆる方法で情報収集をする。インターネットを検索したり、そのなかでもユーザーが過剰に公開しているごくわずかな情報を見つけ出すなどし、情報をかき集める。また、被害者の個人情報はすでに漏えいした情報からも収集される。あるいは、詐欺師が標的から直接個人情報を盗むフィッシング詐欺や電話を介して誘導するビッシング詐欺(注2)といった、ソーシャルエンジニアリングの手法を通じて個人情報が詐取されるケースもある。

 十分な情報を手に入れた詐欺師は、標的が契約している携帯電話会社に連絡し、標的になりすますことで顧客サポートの担当者を騙し、標的の電話番号を詐欺師が保有しているSIMカードへ移すよう仕向ける。その場合の口実の多くは、携帯電話が盗まれたか、失くしたため切り替えが必要になったというものだ。

 この手続きが完了すると、被害者はモバイル接続や電話番号が利用できなくなり、さらには被害者にあてられた電話やテキストメッセージを詐欺師が受け取るようになってしまう。(Welivesecurityレポート記事から一部抜粋)

(注2) フィッシング詐欺は、信頼できる企業になりすましたメールで受信者を騙し、機密情報を聞き出したり、マルウェアをダウンロードさせたりするような詐欺の常套手段だ。そしてビッシング詐欺は、その音声版だ。個人や組織を問わず標的にされる詐欺行為であり、手法もさまざまで場合によっては甚大な被害をもたらす。

(注3) なぜSIMスワップ詐欺がそれほど危険なのか。

 一般的に、この種の攻撃の狙いは、被害者が保有するいくつかのオンラインアカウントへのアクセスを得ることだ。SIMスワップ詐欺を用いるサイバー犯罪者は、被害者が電話やテキストメッセージを二要素認証(2FA)に使用していることを前提としている。

 この場合、被害者のオンライン上での行動や私生活に対し、目に見えない大惨事をもたらす可能性がある。具体的には、銀行口座から預金を全て引き出す、クレジットカードを限度額まで使用する、返済中のローンの支払いを滞らせる、といった被害があり得るだろう。

 また攻撃者は、被害者のソーシャルメディアを乗っ取り、プライベートなメッセージや会話をダウンロードすることも可能だ。これらは長きにわたって被害者にダメージを与える可能性がある。さらには、被害者の評判を貶める侮辱的なメッセージを投稿することさえあるのだ。(Welivesecurityの解説記事から一部抜粋)

(注4) クラウド・ストレージとは、データを格納するためインターネット上に設置されたスペースです。「オンラインストレージ」や「ファイル・ホスティング」とも呼ばれています。パソコン内のストレージや社内のファイルサーバーを利用しなくても、大事なデータの保存が可能です。(iTSCOM解説から抜粋)

(注5) 「猫はくちゃい」(Smelly Cat)は、アメリカ合衆国のテレビシリーズ『フレンズ』に登場した楽曲。リサ・クドローが演じる主要キャラの1人・フィービー・ブッフェの自作である。(Wikipediaから抜粋 )

**********************************************************************************

Copyright © 2006-2022 宮沢俊雄(Toshio Miyazawa ).All Rights Reserve.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.