スキップしてメイン コンテンツに移動

FBIラスベガス現地事務所のSIMカード・スワッピング詐欺リスクと対策の警告

 

 10月21日、FBIラスベガス現地事務所(field office )は、SIMカードのスワップとその潜在的な壊滅的結果について一般市民を教育したいという警告記事を公表した。(Nortonの警告リリースも参照されたい)

 2021年、FBI・インターネット犯罪苦情センター(Internet Crime Complaint Center:IC3)に寄せられた苦情によると、SIMスワップの被害者は全米で1,650人を超え、全国で8,600万ドル以上(約129億円)の損失額が発生している。ラスベガスがあるネバダ州はトップ10に入っており、42人の犠牲者が最大50万ドル(約7,500万円)を失った。すべての主要なモバイル・プロバイダーがすべて利用された。

  この問題に関し、わが国ではそもそも論でeSIMについての解説記事は多く存在するものの、SIMスワップとその潜在的な壊滅的結果に関する解説は皆無である。わが国で解説があるのは、以下注書きで述べるとおり米国のセキュリティ問題の専門家レポートの抄訳、仮訳のみである。

  今回のブログは、この問題点につき、被害が多くなる前に消費者に迅速な情報提供を行うべく急遽まとめた。まず、(1)FBI ・IC3の警告内容、一方で(2) わが国のインターネット詐欺申立・救済窓口の実態は如何という内容で整理した。

1.FBI・IC3の消費者への警告内容

 リリース文に補足説明を加えながら仮訳、解説する。

(1) SIMとはいかなるものか?

 SIMまたは加入者識別モジュール(Subscriber Identity Module)とは、モバイル・デバイスに挿入された小さなメモリカードで、これにより電話をかけたり、テキスト文を送信したり、連絡先を保存したりできる。それはあなたの電話番号に固有である。このチップを取り外し、別の電話に挿入し、番号に電話をかけると、その電話がアクテイブになるものである。

(2) eSIMとは何か?

 eSIMまたは組み込み加入者識別モジュール(Embedded Subscriber Identity Module)は、デバイスにインストールされているソフトウェアの一部であり、物理的なSIMチップの必要性を排除するものである。

(3) SIMスワップとはいかなる行為をいうのか?

 SIMスワップ自体は毎日発生し、常に悪意のある違法行為ではない。あなたは携帯電話を紛失したことがありますか? あなたがもともと携帯電話を持っている場合、あなたはおそらくあなたの携帯電話会社に足を踏み入れ、新しい電話を購入し、そしてあなたの同じ電話番号を保つことができるし、そのこと自体有益である。あなたは順調にSIMスワップを完了したことになる。

 しかし、犯罪者は、ソーシャルエンジニアリングを通じて被害者の身元を仮想し、被害者の電話番号をSIMカードと犯罪者の管理下にある電話番号に移植するために、携帯電話会社の「プラグ」を欺くか、または金銭を支払うのである。eSIMは、ある程度のセキュリティを強化するが、携帯電話会社モバイルキャリアの「プラグ」サービスはこの犯罪を支援し続けている。(注1)(注2)

(4) 何が問題なのか。

 電話番号にはいくつのアカウントが接続されているか? 多要素認証があるアカウントはいくつあるか? SMS多要素認証を持っているアカウントはいくつあるか? 

 サイバー犯罪者は、あなたの人生を完全に支配するために1人だけの詐欺者をでっちあげる。あなたの電話番号をなりすまして装備し、犯罪者はあなたの電子メールのパスワードをリセットすることができるのである。(注3)

 詐欺師の手順を見てみよう。パスワード>テキストコードを忘れた場合 > ログインの成功時にパスワードをリセットするにはここにクリック>ログインが成功した

 このように受信トレイと電話番号の両方にアクセスできるようになったので、犯罪者は銀行口座、暗号資産ウォレットソーシャルメディア・アカウント、クラウド・ストレージ(注4)、機密文書などにアクセスできる。ほとんどの犯罪者は、被害者の暗号資産を盗むという最終ゲームのためにSIMスワッピングに取り組んでいるが、一度暗号資産が空になると、他の伝統的な金融口座に対象を替え、他のタイプの個人情報の盗難に使用されるために個人識別符号(PII)を販売するのである。

(5) 被害にあわないためにどうすればいいのか。

①PINを設定する。ほとんどの携帯電話会社では、アカウントの変更に必要なPINまたはパスワードを設定できる。

②アカウント全体につき強力でユニークなパスワードを採用する

③閲覧画面ですべてを投稿することをやめる。SmellyCat (注5)が大ヒットしたとき、あなたは興奮していたことを知っているが、あなたの壮大な財布の成長のスクリーンショットを投稿すると、SmellyCatの終焉よりもあなたを傷つけた。そのたった1回の投稿は、犯罪者がどの財布を使用しているか、そこにどれだけの暗号資産があるか、そして潜在的にあなたのユーザー名を示した。

④暗号資産をコールドス・トレージに移行する

⑤アカウントには非 SMS 多要素認証を使用する。代わりに、アプリケーションベースのオーセンティケータを選択すべきである。

⑥あなたは携帯電話が通じないデッド・ゾーンにいるか、それともSIMを交換したか? 原因不明のサービスが受けられないことの経過を十分認識すべきである。

(6)ああ、私の携帯はスワップされた! 、自分がSIMスワッピングの犠牲者であると思われるときはどうすればよいか。

①携帯電話会社に直ちに連絡して、電話番号の管理権を取り戻すべきである。これはおそらく直接の会社への訪問を必要とするであろう。

②取引金融機関の金融口座にアラートを掲載する。

③関係機関へ早期通知を行う。最初の数回の暗号資産の転送が発生すると、これらの資産を取り戻すことは非常に困難である。法執行機関への早期通知は、回復プロセスと調査に役立つ。www.ic3.gov にあるFBIのインターネット犯罪苦情センターに被害の経緯、活動内容等を直ちに報告されたい。

2.わが国のインターネット詐欺申立・救済窓口の実態は如何

 わが国で法執行機関であるFBI のサイバー専門機関であるIC3に該当する機関はあるか。筆者なりに調べてみたが、以下述べるとおり、「ない」というのがその答えである。

 つまり、特定の犯罪被害救済窓口や調査・研究機関はあるが、本格的な法執行機関ではなく、また警視庁や県警への相談するにしても、専門性の高いこれらの問題に具体的に取り組むには組織に見て現状は不十分といえる。

 その中で最高検察庁は2021年4月に最高検察庁・先端犯罪検察ユニット(JPEC)を鳴り物入りでスタートさせ、米国FBIとの連携で立件に至った事例をメデイア記事に載せている。

 しかし、筆者が詳細に見るにつけ、その活動の実態はIC3と比較できるレベルとは思えない。出来る範囲でわが国の具体的取組みの内容を紹介する。

(1) 振り込め詐欺救済法に基づく公告

預金保険機構の振り込め詐欺救済法に基づく公告が限定的であるが被害者保護、補償対策に関し参考になろう。

(2) わが国においても警察庁や検察庁を中心とする法執行機関の役割

 中心となるべきであろう。ちなみに、2022年4月10日付け 日経記事は「最高検が『先端犯罪検察ユニット(JPEC)』を発足させて4月で1年となる。犯罪手口や対応策を各高検、地検と共有するとともに、既に約150の事件で捜査をサポートした。米連邦捜査局(FBI)との連携が奏功し、立件につながったケースもある。最高検サイバー班、捜査支援150件 発足1年で海外連携も」とある。このJPECは2022年8月15日(最終更新)にfacebookページ運用方針を以下のとおり、公表している。

 先端犯罪検察ユニット(JPEC)では、広報活動の一層の充実のため、公式Facebookページ(以下「当ページ」という。)を取得し、情報発信を行います。

 Facebookを通じた情報発信に当たり、当ページの運用方針を次のとおり定めます。(以下、略す)。

 しかし、実際にfacebookを見ても「このコンテンツは現在ご利用いただけません」が表示されるのみである。

(3)警察庁の取組み

 警察庁の2021年3月8日広報資料「スマートフォン決済サービスを利用した不正振替事犯に係る対策について」を読んだ。

 内容的に見て、今回取り上げたeSIM SWAP問題への取組みにつながる対応と考える。しかし、国際犯罪グループに対する取り組みとしては決して十分とは思えない。

(4) 独立行政法人情報処理推進機構(IPA:Information-technology Promotion Agency, Japan)

 最新のサイバーーセキュリテイ問題につき。調査研究、啓蒙活動機関ではあるが、IC3のような苦情受け付け、告発機関ではない。

 なお、IPAにおいてソーシャルメディア公式アカウントを有しており、実際にアクセス可である。

(5) (一財)日本サイバー犯罪対策センター(JC3)

 同センターは産業界、学術機関、法執行機関等、それぞれが持つサイバー空間の脅威への対処経験を集約・分析し、その結果を共有することで、サイバー空間全体を俯瞰し、サイバー犯罪等のサイバー空間の脅威の大本を特定・軽減・無効化することを目指す非営利団体といえる。

 しかし、米国のIC3とは全く機能や権限が異なることも明らかである。

*******************************************************************

(注1) SIMスワップ詐欺の仕組み

 SIMスワップ詐欺は、別名「SIMハイジャック」や「SIM分割」とも呼ばれ、一種のアカウント乗っ取り詐欺として知られている。この攻撃を仕掛けるにあたり、攻撃者は標的についてあらゆる方法で情報収集をする。インターネットを検索したり、そのなかでもユーザーが過剰に公開しているごくわずかな情報を見つけ出すなどし、情報をかき集める。また、被害者の個人情報はすでに漏えいした情報からも収集される。あるいは、詐欺師が標的から直接個人情報を盗むフィッシング詐欺や電話を介して誘導するビッシング詐欺(注2)といった、ソーシャルエンジニアリングの手法を通じて個人情報が詐取されるケースもある。

 十分な情報を手に入れた詐欺師は、標的が契約している携帯電話会社に連絡し、標的になりすますことで顧客サポートの担当者を騙し、標的の電話番号を詐欺師が保有しているSIMカードへ移すよう仕向ける。その場合の口実の多くは、携帯電話が盗まれたか、失くしたため切り替えが必要になったというものだ。

 この手続きが完了すると、被害者はモバイル接続や電話番号が利用できなくなり、さらには被害者にあてられた電話やテキストメッセージを詐欺師が受け取るようになってしまう。(Welivesecurityレポート記事から一部抜粋)

(注2) フィッシング詐欺は、信頼できる企業になりすましたメールで受信者を騙し、機密情報を聞き出したり、マルウェアをダウンロードさせたりするような詐欺の常套手段だ。そしてビッシング詐欺は、その音声版だ。個人や組織を問わず標的にされる詐欺行為であり、手法もさまざまで場合によっては甚大な被害をもたらす。

(注3) なぜSIMスワップ詐欺がそれほど危険なのか。

 一般的に、この種の攻撃の狙いは、被害者が保有するいくつかのオンラインアカウントへのアクセスを得ることだ。SIMスワップ詐欺を用いるサイバー犯罪者は、被害者が電話やテキストメッセージを二要素認証(2FA)に使用していることを前提としている。

 この場合、被害者のオンライン上での行動や私生活に対し、目に見えない大惨事をもたらす可能性がある。具体的には、銀行口座から預金を全て引き出す、クレジットカードを限度額まで使用する、返済中のローンの支払いを滞らせる、といった被害があり得るだろう。

 また攻撃者は、被害者のソーシャルメディアを乗っ取り、プライベートなメッセージや会話をダウンロードすることも可能だ。これらは長きにわたって被害者にダメージを与える可能性がある。さらには、被害者の評判を貶める侮辱的なメッセージを投稿することさえあるのだ。(Welivesecurityの解説記事から一部抜粋)

(注4) クラウド・ストレージとは、データを格納するためインターネット上に設置されたスペースです。「オンラインストレージ」や「ファイル・ホスティング」とも呼ばれています。パソコン内のストレージや社内のファイルサーバーを利用しなくても、大事なデータの保存が可能です。(iTSCOM解説から抜粋)

(注5) 「猫はくちゃい」(Smelly Cat)は、アメリカ合衆国のテレビシリーズ『フレンズ』に登場した楽曲。リサ・クドローが演じる主要キャラの1人・フィービー・ブッフェの自作である。(Wikipediaから抜粋 )

*******************************************************************

Copyright © 2006-2022 芦田勝(Masaru Ashida).All Rights Reserve.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

 

コメント

このブログの人気の投稿

ウクライナ共同捜査チームの国家当局が米国司法省との了解覚書(MoU)に署名:このMoU は、JIT 加盟国と米国の間のそれぞれの調査と起訴における調整を正式化、促進させる

  欧州司法協力機構(Eurojust) がウクライナを支援する共同捜査チーム (Ukraine joint investigation team : JIT) に参加している 7 か国の国家当局は、ウクライナで犯された疑いのある中核的な国際犯罪について、米国司法省との間で了解覚書 (以下、MoU) に署名した。この MoU は、ウクライナでの戦争に関連するそれぞれの調査において、JIT パートナー国と米国当局との間の調整を強化する。  このMoU は 3 月 3 日(金)に、7 つの JIT パートナー国の検察当局のハイレベル代表者と米国連邦司法長官メリック B. ガーランド(Merrick B. Garland)によって署名された。  筆者は 2022年9月23日のブログ 「ロシア連邦のウクライナ軍事進攻にかかる各国の制裁の内容、国際機関やEU機関の取組等から見た有効性を検証する!(その3完)」の中で国際刑事裁判所 (ICC)の主任検察官、Karim A.A. Khan QC氏 の声明内容等を紹介した。  以下で Eurojustのリリース文 を補足しながら仮訳する。 President Volodymyr Zelenskiy and ICC Prosecutor Karim A. A. Khan QC(ロイター通信から引用) 1.ウクライナでのJITメンバーと米国が覚書に署名  (ウクライナ)のICC検事総長室内の模様;MoU署名時   中央が米国ガーランド司法長官、右手がICCの主任検察官、Karim A.A. Khan QC氏  MoUの調印について、 Eurojust のラディスラフ・ハムラン(Ladislav Hamran)執行委員会・委員長 は次のように述べている。我々は野心のために団結する一方で、努力においても協調する必要がある。それこそまさに、この覚書が私たちの達成に役立つものである。JIT パートナー国と米国は、協力の恩恵を十分に享受するために、Eurojustの継続的な支援に頼ることができる。  米国司法長官のメリック B. ガーランド(Merrick B. Garland)氏は「米国が 7 つの JIT メンバー国全員と覚書に署名する最初の国になることを嬉しく思う。この歴史的な了解覚書は、ロシアのウクライナ侵攻に起

カリフォルニア州司法長官ハビア・バセラ氏の保健福祉省長官指名と議会上院における公聴会ならびに承認採決の僅差結果

 バイデン政権の今後を占ううえで欠かせない閣僚人事に関し、新たな動きがみられた。  すなわち、 AP通信 は(https://www.wtnh.com/news/health/becerra-confirmed-to-head-up-bidens-ambitious-health-agenda/)は次のとおり報じた。  「連邦議会上院 は3月18日木曜日、カリフォルニア州司法長官のハビア・バセラ(Xavier Becerra)氏(1958生まれ)をジョー・バイデン大統領がおす保健福祉省(U.S. Department of Health and Human Services (HHS) )(https://www.hhs.gov/about/index.html)長官として承認し、政府のコロナウイルス対応と、薬剤費の削減、保険適用範囲の拡大、医療における人種格差の解消という野心的な推進において重要な位置を占めることとなった。」 Xavier Becerra 氏  バイデン大統領はカマラ副大統領(元カリフォルニア州司法長官)に引き続き、バセラ長官を連邦政府の代表機関である保健福祉省の長官に指名する本当の理由はどこにあるのか。  確かに、閣僚人事をきめるうえで、多民族国家米国の統一化、結束を強く訴える大統領の考えは、理解できる。しかし、大統領の本音はそれだけではあるまい。長期民主党政権の維持野ための人事の若返り、世界的に見た知名度、行政手腕などの要素を踏まえれの判断かもしれない。  ところで、筆者は歴代のカリフィルニア州の司法長官とはメールのやり取りしており、両氏の今回の就任は”Congratulation”と言いたいだけでなく、わが国の対米戦略を考えるうえで両氏との率直な意見交換も行いたいという気持ちがある。  他方、筆者が強く興味があるのは、今回の人事の例にみられるとおり、民主、共和党が党員数が僅差な議会運営の難しさである。  その意味で、今回の議会上院公聴会でのバセラ氏の陳述内容、また反対議員の発言内容等につき直接確認したと考えていた。  これらの情報を探るうえで重要な公式動画情報源は上院の場合は”Floor Webcast”、下院では”House Live”である。 (注1)  また、米国ではこれらの情報は”youtube ”でも確認できるが

英国の Identity Cards Bill(国民ID カード法案)が可決成立、玉虫色の決着

  2005年5月に英国議会に上程され、英国やEU加盟国内の人権保護団体やロンドン大学等において議論を呼んでいた標記法案 (筆者注1) が上院(貴族院)、下院(庶民院) で3月29日に承認され、国王の裁可(Royal Assent)により成立した。  2010年1月以前は国民IDカードの購入は義務化されないものの、英国のパスポートの申込者は自動的に指紋や虹彩など生体認証情報 (筆者注2) を含む国民ID登録が義務化されるという玉虫色の内容で、かつ法律としての明確性を欠く面やロンドン大学等が指摘した開発・運用コストが不明確等という点もあり、今後も多くの論評が寄せられると思われるが、速報的に紹介する。 (筆者注3) 1.IDカード購入の「オプト・アウト権」  上院・下院での修正意見に基づき盛り込まれたものである。上院では5回の修正が行われ、その1つの妥協点がこのオプショナルなカード購入義務である。すなわち、法案第11編にあるとおりIDカードとパスポートの情報の連携を通じた「国民報管理方式」はすでに定められているのであるが、修正案では17歳以上の国民において2010年1月(英国の総選挙で労働党政権の存続確定時)まではパスポートの申込み時のIDカードの同時購入は任意となった。 2.2010年1月以降のカード購入の義務化  約93ポンド (筆者注4) でIDカードの購入が義務化される。また、2008年からは、オプト・アウト権の行使の有無にかかわりなく、パスポートのIC Chip (筆者注5) に格納され生体認証情報は政府の登録情報データベース (筆者注6) にも登録されることになる。 ******************************************************: (筆者注1) 最終法案の内容は、次のURLを参照。 http://www.publications.parliament.uk/pa/ld200506/ldbills/071/2006071.pdf (筆者注2) 生体認証の指紋や虹彩については、法案のスケジュール(scheduleとは,英連邦の国の法律ではごく一般的なもので、法律の一部をなす。法本文の規定を受け,それをさらに細かく規定したものである。付属規定と訳されている例がある。わが国の法案で言う「別表」的なもの)に具体的