SMS ベースの 2FA の使用は中止するべきか

2017.07.28

The Register が先日、SIM スワップと呼ばれるサイバー犯罪の新たな実例についての記事(リンク先:英語)を掲載しました。


典型的な手口は、次のようなものです。


1 人の詐欺師が携帯電話ショップに入り、「フェリーに急いで乗り込もうとしたら携帯電話がポケットから落ちて水中に消えてしまった。新しい携帯電話が欲しい」と伝えると、販売員は最新の最上位機種を勧めてきます。


詐欺師はクレジットカード (おそらく本人のものではなく、他人のクレジットカードのクローン) を取り出して、新しい携帯電話を「購入」します。


携帯電話はその日のうちにインターネットで希望小売価格の半額で売りに出されます。Web サイトに掲載してから数分後には買い手が見つかることでしょう。


詐欺師の目的はこれだけではありません。古い電話番号を使えなければ新しい携帯電話はほとんど役に立たないため、「水底に沈んだ」SIM カードに置き換わる新しい SIM カードを入手します。


もちろん、他人の電話番号を乗っ取ろうとするなりすましを防ぐため携帯電話ショップでは身元確認が行われています。


しかし、携帯電話を失くしたばかりでパスポートなどの身分証明書を所持していないが、きちんとした感じの人であれば、身元確認が省略される可能性があります。


SIM スワップが攻撃者に好まれる理由


この詐欺師は 2 倍の「利益」を手にすることになります。盗んだ携帯電話をインターネットで販売できるだけでなく、しばらくの間は他人の SIM カードで 2 要素認証 (2FA) コードを不正利用することができます。


もちろん、誰の SIM カードでもいいわけではなく、この詐欺師が事前にユーザー名やパスワードなどのログイン情報を入手したユーザーの SIM カードです。


このように SIM スワップは、セキュリティ強化のために携帯電話ベースの 2FA が有効になっていたとしても、オンラインアカウントを簡単に (そして驚くほど効果的に) 乗っ取ることができる方法です。


その理由として、携帯電話番号が実際には電話番号ではないことが挙げられます。携帯電話番号は、電話機ではなく SIM カードに紐付けされています。そのため、SMS メッセージに依存するすべての 2FA プロセスは、SIM スワップに対して脆弱です。


皮肉なことに、SIM カード自体は非常に安全性が高く、クローンの作成や改ざんはほぼ不可能です。


しかし、SIM カードのエコシステム全体を見ると弱点が存在します。これは、ほとんどの携帯電話ショップが、SIM カードを正式に再発行して、既存の電話番号に新しい SIM を紐付けすることができるためです。


これでは、偽造しにくくするためにパスポートのデザインを変更しておきながら、パスポートの申請処理についてはセキュリティを強化しないのと同じことです。


SIM スワップを発見する方法


SIM スワップの被害者になった場合、最初に起きる異変は携帯電話の機能の停止です。これは、SIM スワップが行われると、新たに発行された SIM がアクティベートされるだけでなく、同時に古いほうの SIM が自動的に無効になるためです。


残念ながら、被害者は携帯電話が使えなくなったことにしばらくの間気付かないかもしれません。気付いたとしても、それが SIM スワップによるものなのか、一時的なネットワーク停止によるものなのかをすぐには判断できません。


最終的には事態を把握できたとしても、その時点では電話は使えなくなっているため、電話をかけて問題を報告することもできません。


さらには、なんとか携帯電話会社に連絡できたとしても、直前に SIM を交換した人 (詐欺師) とは別人であるために、被害者であるにもかかわらず「なりすまし」だと疑われる可能性があります。


その間も、被害者は 2FA で保護されたアカウントと携帯電話からロックアウトされているので、詐欺師による不正利用を防ぐことができません。


(一般的に、不正に入手したログイン情報を使用して詐欺師が最初にすることは、認証およびアカウントリカバリに関するすべての設定の変更です。これは、被害に気付いたユーザーによる対処をできるだけ困難にするためです。)


対策


米国に関して言えば、米国立標準技術研究所 (NIST) が公式の「パスワード規則」を最近更新し、少なくとも公共部門では携帯電話ベースの 2FA はセキュリティが不十分であるとみなされると発表しました。


NIST は、SIM カードの新規発行を適切に管理できない携帯電話ショップは、政府の 2FA システムにおいて改ざん防止の役割を果たすことはできない、という意見を表明しています。


SMS ベースの 2FA のリスクが心配な場合は、Sophos Free Mobile Security (Android および iOS で利用可能) に組み込まれている認証機能のような、アプリベースのオーセンティケーターへの切り替えを検討してください。


言うまでもありませんが、オーセンティケーターアプリのセキュリティは、携帯電話自体のセキュリティに左右されます。これは、携帯電話のロックを解除できさえすれば、オーセンティケーターアプリを実行して、各アカウントで入力を求められる次のコードを生成できるからです。


必ず、推測されにくいロックコードやパスフレーズを設定してください。そして、セキュリティパッチで正式にサポートされている最新モデルの携帯電話を使用してください。


また、SMS ベースの 2FA を使用するかどうかにかかわらず、携帯電話会社に連絡をして、自分のアカウントに適用可能な追加のセキュリティ機能がないか確認してください。


追加のセキュリティ機能を適用したとしても、ソーシャルエンジニアリングに対して脆弱であることに変わりはありません。おしゃべり上手な詐欺師がサポートチームのメンバーの 1 人に近づいて、重要なセキュリティ手順を省略するように誘導する可能性はありますが、それでも何もしないよりはましです。


携帯電話が突然使えなくなった場合 (特に、同じネットワークを使用している友人や同僚の携帯電話には問題が起きていない場合) には、念のため電話を借りて携帯電話会社に確認することをお勧めします。


引用元

おすすめの記事はこちら