X、米SECのアカウント侵害はSIMスワップによるものと説明
コメント
選択しているユーザー
その昔、Syrian Electronic Armyとかlizardとか、躍起になってメジャーアカウントをハイジャックするの流行ってましたよね
SIMスワもそうなんだけど、当時からSS7の脆弱性突いたりフィッシングしたりアカウント復旧プロセス乗っ取ったり
まぁあの手この手でみんなやってましたよね
要するにSMSによる多要素認証って思ってるよりそんなに強くないよと言うことを何となく頭に入れておくことが大切かもしれませんね
この前のMGMカジノもSIMスワで多要素認証回避されてましたし。。。
注目のコメント
SIMスワップ攻撃を受けないためには、二要素認証をかけるときに電話番号や電話番号へのショートメッセージサービスを使わずに認証アプリにすれば、認証が電話番号と紐付けられるのではなく、携帯電話のデバイス自体に紐づけられるので、SIMスワップの被害を受けにくくなります。
攻撃者が被害者になりすましてSIMを再発行させる時には、なるべく多くの被害者の情報を掴んでいることが鍵になります。そのためSNSのプロフィールなどで、なるべく個人情報を日頃から公にしないことや、フィッシングなどの攻撃に日頃から注意して対処しておくことも重要です。最近流行りの携帯番号に紐づいた2段階認証もSIMの偽造によって突破される可能性があります。
ただ、簡単に偽装を行うことは難しいため、一般的な方々がターゲットになることは少ないです。
(同一番号のSIMが存在する場合は、キャリア側で対応を行うことが一般的です。)
ただ、このあたりの認証処理についてはイタチごっこであり、次々と新しい不正手法が出てきます。
常にアンテナを高くして自分が被害者に会う可能性を疑うことも必要です。
リアルで近所で犯罪が多発していれば当然用心します。それと同じことをデジタルでも行なってください。