機密性の高いアカウントを守るために、あなたはいつも通りの対策を講じているはずです。独自のパスワードを使い、スマートフォンにアラートを送信する設定もしています。しかし、窃盗犯は簡単な「ハッキング」で、これらすべてを回避できます。つまり、あなたの目の前で電話番号を盗むのです。そして今、その新たな亜種が蔓延しています。
SIMジャッキングとは何ですか?
この攻撃はSIMジャッキングと呼ばれ、誰かがあなたの電話番号を自分のSIMカードに転送します。その後、あなたの銀行口座(および通話やSMSで認証を行う他の口座)に侵入します。パスワードも必要ありません。これらのコードにアクセスすれば、パスワードのリセットは簡単に完了します。
Bleeping Computerの報道によると、SIMスワップに関する新たな手口では、攻撃者はソーシャルエンジニアリングを介さず、直接モバイルアカウントを狙うという。漏洩、盗難、あるいは推測されたパスワードを入力できれば、QRコードをスキャンするといった、簡単に電話機を切り替えられる機能を利用して、あなたの電話番号を自分の携帯電話のeSIMに転送できる。埋め込み型SIMは多くの最近の携帯電話に搭載されており、すべての主要通信事業者に対応しているため、このような窃盗は全体的に比較的容易になっている。
以前は、SIMスワップを成功させるには、店舗に出向くかカスタマーサービスに電話し、従業員にSIMスワップを依頼する必要がありました。あるいは、内部の誰かが不正行為に加担していたこともありました。
SIM ジャッキングの被害者になったかどうかは、携帯電話がアカウントと関連付けられなくなるため、すぐにわかります。
SIMジャッキングから身を守るにはどうすればいいですか?
この新しいタイプのSIMジャッキングから身を守るには、モバイルアカウントに、ユニークでランダムかつ強力なパスワードを設定する必要があります。また、可能であれば、二要素認証(2FA)を有効にするか、アカウント変更時にPINを設定することも重要です。(注:新しいモバイルサービスへの電話番号の不正な転送を防ぐPINを設定することは、全体的なセキュリティ強化に役立ちますが、SIMスワップ(SIMカードの不正使用)を防ぐことはできません。)
残念ながら、すべての携帯電話会社が2要素認証(2FA)でオンラインアカウントを保護しているわけではなく、これらの対策ではソーシャルエンジニアリングによるSIMジャッキングを阻止することはできません。そのため、最も重要なアカウントのセキュリティも強化する必要があります。非常に複雑(かつ長い)パスワードを使用し、ソフトウェアまたはハードウェアキーによる2要素認証(可能な場合)を有効にし、アカウントに関連付けられているメールアカウントも十分に保護されていることを確認してください。
追加の対策としては、SMSベースの2FAがどうしても必要な場合は、2つ目の電話番号を使用するという方法があります。あるいは、銀行(やその他のサービス)を、最新の適切な2FAを提供しているプロバイダーに切り替えるのも良いでしょう。2つ目の携帯電話回線を取得する場合は、古い携帯電話を格安の携帯電話プランに加入させるか、Google Voice番号を利用するのも良いでしょう。(ただし、Google Voice番号はSMS 2FAですべてのサービスでサポートされているわけではありません。これは、Google Voice番号がVOIPサービスを使用しているためです。また、潜在的な詐欺行為を阻止するために、一部の機関では使用を禁止しています。)
しかし、まずはパスワード管理を強化し、より強力な2FA(二要素認証)を導入すれば、状況は格段に良くなります。まだパスワードマネージャーをご利用でない場合は、おすすめのパスワードマネージャーをぜひご覧ください。また、2FAの選択肢について詳しく知りたい場合は、こちらのガイドもご用意しています。
著者: Alaina Yee、PCWorld 上級編集者
テクノロジーとビデオゲームのジャーナリズムで14年のキャリアを持つアライナ・イーは、PCWorldで様々なトピックをカバーしています。2016年にチームに加わって以来、CPU、Windows、PCの組み立て、Chrome、Raspberry Piなど、様々なトピックについて執筆する傍ら、PCWorldのバーゲンハンター(#slickdeals)としても活躍しています。現在はセキュリティに焦点を当て、人々がオンラインで自分自身を守る最善の方法を理解できるよう支援しています。彼女の記事は、PC Gamer、IGN、Maximum PC、Official Xbox Magazineに掲載されています。
