TwitterのCEOのアカウント乗っ取りにも使われた「SIMスワッピング」の脅威を警察当局が警告

by Pexels

携帯電話の紛失を装って電話番号とSIMカードで紐付けられている情報を変更し、個人情報の窃取や銀行口座へ不正アクセスする手法が出てきているとして、警察当局が注意を呼びかけています。

Ontario police warn of 'SIM swapping' fraud | CBC News
https://www.cbc.ca/news/canada/toronto/ontario-provincial-police-sim-swapping-phone-number-porting-1.5354567

カナダ・オンタリオ州警察と、オンタリオ州重大不正捜査局およびカナダ詐欺対策センターの共同発表によると、SIMスワッピングの犯人はまず、通信キャリアに「携帯電話を紛失した」と連絡し、被害者の電話番号を手元のSIMカードに紐付けます。こうして被害者になりすました犯人により、被害者の銀行口座から預金が引き出されたり、被害者の名義で借金が申し込まれたりした事例が確認されているとのこと。

by stevanovicigor

また、アプリを手当たり次第ダウンロードしてから被害者のアカウントでパスワードを再発行し、盗み取った電話番号やメールアドレス宛に送られてきた確認コードを使って、あらゆるアプリやサービスのアカウントを乗っ取ることも可能になります。

2019年8月には、TwitterのCEOであるジャック・ドーシー氏のアカウントから差別的なツイートが連発される事件が発生しましたが、この時、ドーシー氏のアカウントを乗っ取るのに使われた手口が「SIMスワッピング」だと推測されています。

SIMスワッピングは、被害者の電話番号と使用している通信キャリアを特定するだけで実行可能ですが、通信キャリアの本人確認をパスするためにはある程度被害者の個人情報を知っている必要があります。このため、オンタリオ州警察は以下の防衛策を講じて、個人情報を守るよう推奨しています。

・ソーシャルメディアで生年月日を非公開にするなど、あらゆる個人情報を「プライベート」に設定する。
・身に覚えのないテキストメッセージやフィッシング詐欺のメールで、パスワードの確認やアカウント情報の更新を求められても回答しない。
・オフラインのパスワードマネージャーを使用する。
・通信キャリアのセキュリティ設定を見直す。
・携帯電話を紛失した際は、即座に通信キャリアに通報する。

オンタリオ州警察はカナダ放送協会の取材に対し「直感を大事にしてください。テキストメッセージやメールが少しでも怪しく感じられたら、それは高い確率でフィッシング詐欺です」と述べて、個人情報を守ることの重要性を改めて強調しました。