サイバー攻撃「SIMスワップ」のために従業員を買収する試みが確認されている

世界最大級の通信キャリア・T-Mobileは、「SIMカードの交換」を利用して個人情報を盗もうとする「SIMスワップ」に悩まされています。直近で新たに、従業員を買収してSIMスワップを行わせようとする試みが確認されていることがわかりました。

T-Mobile Employees Across The Country Receive Cash Offers To Illegally Swap SIMs
https://tmo.report/2024/04/t-mobile-employees-across-the-country-receive-cash-offers-to-illegally-swap-sims/

「SIMスワップ」は、SIMカードの交換を利用したサイバー攻撃で、特定のユーザーになりすましてSIMカードの交換を申請することにより、偽物のSIMカードに対して通信キャリアから個人情報を送ってもらう手法です。

成功すると、二要素認証に必要となる認証コードを取得することができるので、攻撃者はユーザーの銀行口座や仮想通貨ウォレットにアクセスすることが可能になります。

世界的通信キャリアであるT-Mobileでは、2022年に7ヶ月間で100回以上のSIMスワップ攻撃の試行があったことがわかっています。

T-Mobileは2022年に100回以上スマホを乗っ取る「SIMスワップ」などのサイバー犯罪被害を受けていると判明 - GIGAZINE

ニュースサイトのThe Mobile Reportによると、全国のT-Mobileの従業員に向けて、攻撃者から「SIMスワップをやってくれたら1回につき300ドル(約4万6300円)支払う」というSMSが送られているとのこと。

SMSを送るには電話番号が必要ですが、攻撃者は「T-Mobileの従業員フォルダーから情報を得た」と説明しているため、そもそもT-Mobileが何らかのサイバー攻撃に遭っている可能性があります。なお、SMSを受け取った人の中には数カ月前に退職済みの人も含まれているため、「攻撃者が現在進行形で従業員フォルダーへのアクセス権を持っている」可能性は低いそうです。

The Mobile Reportの問い合わせに対してT-Mobileは「システムへの侵入はありません。我々は違法行為を勧誘するメッセージについての調査を進めています。他のキャリアでも、同様のメッセージが送られているという報告があると聞いています」と回答しています。

この件に関してユーザー側ができることは、2要素認証があるサービスを使うとき、SMSベースではなく、ワンタイムパスワード発行アプリなどを利用すること。また、2要素認証でSMSしか選べないのであれば、SIMカードにロックを掛けることだと、The Mobile Reportは対策を挙げています。