パスワードを忘れた? アカウント作成
13657458 story
携帯電話

他人名義のSIMカードを不正に取得してアカウントを乗っ取る詐欺事件、米国で増加 13

ストーリー by hylom
そんなことができるのか 部門より

米国でソーシャルエンジニアリング的な手口を使って他人名義のSIMカードを取得する事件が増えているという。昨今ではスマートフォンを使った2要素認証などを使うサービスも増えているが、この手口を使うことでこういった認証も突破できてしまうという(GIGAZINEMOTHERBOARD)。

手口としては、ターゲットの個人情報を収集した上で、携帯電話事業者のサポートに「SIMカードを紛失した」として連絡し、攻撃者が所有する別のSIMカードに電話番号などを移転する手続きを依頼するというもの。日本ではSIMカードを紛失した場合には再発行が行われることが一般的だが、海外では別のSIMカードに電話番号などの登録情報を移行させることが可能で、これを悪用したもののようだ。

こういった攻撃は主にSNSアカウントの乗っ取ったうえで転売し利益を得ることを目的に行われているそうだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • GIGAZINEの記事によると、

    当然、キャリアからは身分証明を求められますが、あらかじめターゲットとなる人物の住所や社会保障番号を調べておけば対応できるため、SIMハイジャックを簡単に行うことができてしまいます。

     ってことらしいので、ここがセキュリティホールといえそう。
     要するに、個人認証の方法がざるであるってことね。

     もし本当に紛失していた場合、SIMは既に別の誰かに盗まれて使われているかもしれない。その場合、元の番号にかけても本人確認はできないし、そのまま放置すればそのSIMで勝手に買い物されたりするかもしれない。
     だから、どうにかして電話口で本人確認をして、紛失したSIMは速やかに停止しないといけないのだろう。電話口で口頭でできる確認なんてやっぱたかが知れてるし、限界もあるのもわかる。

     対処としては、乗っ取りにあったことが判明した場合に回復する手段を用意するしかないだろうなぁ。アカウントの売買が収入源であれば、そのアカウントを買ったやつをしょっ引くのが一番手っ取り早いかな。
     盗んだ奴を直接捕まえるのは難しいだろうけど、現在アカウントを使ってる奴を特定するのはそこまで難しい話じゃないだろう。アカウントを他人から買うというような行為自体が犯罪を助長するわけで、未必の故意、とかあたりで捕まえてしまえばいいんじゃないかと思う。
     そうやって末端を捕まえて取り調べを進めればばログなり自供なりで売人にたどり着けるだろうし、何より、アカウントを買おうという客が減るし、客が減れば収入がなくなるわけで狙おうって犯罪者も減るじゃないかな。

    • by Anonymous Coward

      これが現実的なリスクになっていくとすれば、再発行不可、にすればとりあえず被害はなくなりそう。
      新規電話番号を割り振る形で。ただ本当に無くした場合も変更になってしまう。

      認証の一部が電話番号に紐づくのって、解約した後しばらくすると電話番号再利用されるので、
      ちゃんと番号変更などの手続きしておかないと、次の利用者に認証SMSが届いてしまう。

      電話番号に紐づけるよりスマホ自身をU2Fデバイスにする方が安全そうな気もする。
      別の端末でどうやってログインするか、という課題か。OTP?

  • by Anonymous Coward on 2018年07月26日 11時28分 (#3449598)

    nanoSIMが猫の肉球にくっついてどっかいってしまったことならあった。

    #すべては猫のしわざ

    • by Anonymous Coward
      ペタリハンドか
      • by Anonymous Coward

        あれって何で「ペタンハンド」から改名されたんでしょうね。ペタンは差別用語?

        • by Anonymous Coward

          どっちも乳サイズ差別だ!

        • by Anonymous Coward

          フランス方面から抗議が来た可能性を否定できない

  • by Anonymous Coward on 2018年07月26日 13時14分 (#3449656)

    SIMの再発行は個人情報(名前、住所、電話番号など)あればできるのかもしれないけど、その人のSNSアカウント情報(メールアドレス、アカウントIDなど)をどうやって取得すればいいのか・・・

    #犯人は知人です

    • by Anonymous Coward

      たぶん乗っ取りたいのは、匿名アカウントじゃないと思うよ……。

    • by Anonymous Coward

      パスワード使い回しとか多いし、別のとこで漏れたやつを利用してんのかも。
      2段階認証あると、それだけじゃ無理だから、今回の手法が使われてると・・・

      日本の場合再発行、とあるが、今後eSIMでリモートで書き換えが普通になっていきそうだし日本でも起きそうだ。
      電話じゃ無理で店舗に来い、と言われそうだが。MVNOだとどうですかね。

  • by Anonymous Coward on 2018年07月26日 18時23分 (#3449888)

    >日本ではSIMカードを紛失した場合には再発行が行われることが一般的だが、海外では別のSIMカードに電話番号などの登録情報を移行させることが可能で、これを悪用したもののようだ。

    届け先さえごまかせば再発行でも他人になりすましてSIMを受け取ることはできそうな気がする。

    • by Anonymous Coward

      再発行=利用者住所へSIMを郵送
      移行=攻撃者の手元にあるSIMを登録=郵送不要

      • by Anonymous Coward

        だから「届け先さえごまかせば」って書いてるじゃん。
        引っ越したことにすればいいだけだぞ。

typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

読み込み中...