T-Mobileは2022年に100回以上スマホを乗っ取る「SIMスワップ」などのサイバー犯罪被害を受けていると判明

ドイツに本社を置く世界最大級のモバイルキャリアであるT-Mobileは、2021年夏に1億人分のユーザー情報の流出を認めたり、2023年1月には新たに3700万人分の顧客データが流出したことが報じられたりと、しばしばセキュリティ問題が話題になります。そんなT-Mobileに対し、スマートフォンを乗っ取られて全ての情報が盗まれるなどの重大な侵害が2022年を通じて100件以上起きていたと、セキュリティ分析会社のデータが示しています。

Hackers Claim They Breached T-Mobile More Than 100 Times in 2022 – Krebs on Security
https://krebsonsecurity.com/2023/02/hackers-claim-they-breached-t-mobile-more-than-100-times-in-2022/

セキュリティ関連の研究や情報発信を行うKrebsOnSecurityのブライアン・クレブス氏が公開したデータから、3つの犯罪グループがT-Mobileの従業員を利用して社内ツールにアクセスさせ、そのアクセスからスマートフォンを一時的に制御するサイバー犯罪のターゲットを創り出す攻撃を行っていることが示唆されました。特に、ユーザーが自ら発信している情報や漏えいした情報から個人情報を特定し、そのユーザーになりすますことで、携帯電話会社に連絡して偽物のSIMカードにスマートフォン内の情報を全部送らせるという「SIMスワップ」にサイバー犯罪者は取り組んでいると分析されています。

KrebsOnSecurityのデータによると、2022年5月から12月までの7カ月間で、全てのグループをあわせて計104回の「SIM交換の申し立て」がハッカーグループからT-Mobileに対して行われました。KrebsOnSecurityが発見したSIMスワップの実行犯は、3グループすべてが2023年も活動を続けていることが分かっています。SIMスワップに関連する詐欺はT-Mobile以外のプロバイダーでも確認されていますが、T-Mobileと比較するとはるかに少ない頻度です。ただし、他のプロバイダーへのSIMスワップが成功した場合、かなり高額の請求が行われる傾向にあるそうです。

KrebsOnSecurityは収集したデータをT-Mobileに共有しましたが、T-Mobileはそのデータで指摘されているサイバー犯罪を認めることも否認もせず、声明の中で「この種の活動は、無線業界全体に影響を与えます。私たちは常にそれと闘う為に取り組んでいます。私たちは、多要素認証制御の強化、認証環境の強化、データ、アプリ、サービスへのアクセスの制限など、不正アクセスから保護する機能の強化を推進し続けてきました。また、これらの継続的な取り組みをさらに強化するために、共有されたような脅威インテリジェンスデータの収集にも注力しています」と述べています。

ニューヨークに本拠を置くサイバーセキュリティ会社Unit 221Bの最高研究責任者であるアリソン・ニクソン氏によると、SIMスワップ攻撃を行うグル－プは「プロバイダに電話をかけ、会社のIT部門の誰かになりすまして、電話の相手をフィッシングサイトに誘導する」という手段を採ります。そのため、「ローテクかつ確率が低い脅威として、セキュリティコミュニティの多くの人々は、この攻撃を軽視してしまいます」とニクソン氏は指摘しています。実際には、セキュリティ会社にマークされないようにフィッシングサイトを流動的に設計する担当者がいたり、フィッシングサイトに誘導した後に資格情報を盗む専門家がいたり、盗んだ資格情報を使用して不正に会社のツールにアクセスすることを専門とする別の共謀者もいたりと、「最近のフィッシングには多くの可動部分があるため、ローテクではない脅威となっています」とニクソン氏は説明しています。

KrebsOnSecurityによると、T-Mobileのセキュリティ被害は大きいものの、T-Mobileのセキュリティチームは有効に働いており、あるサイバー犯罪グループは「T-Mobileのセキュリティチームは自分たちのチャットを監視し始めたのではないか」と疑っていることを述べていたそうです。KrebsOnSecurityが示した以下の画像は、SIMスワップの警告が確認された日を赤く表示した2022年のカレンダーですが、年の後半にいくにつれて被害件数が減少していることがわかります。

T-Mobileは、従業員の認証を強化するために何をしているのかについての質問には答えていませんが、カリフォルニア大学バークレー校の国際コンピューター科学研究所の研究者兼講師であるニコラス・ウェーバー氏は「T-Mobileとすべての主要なワイヤレスプロバイダーは、従業員が会社のリソースにログインする際に、物理的なセキュリティキーを使用することを第2要素として要求する必要があります」と述べています。また、ニクソン氏は「この問題が手に負えなくなった最大の理由は、これらの犯罪グループは10代の若者を勧誘して汚い仕事をさせており、子供たちが非常に重要な役割を果たしているからです。未成年者がSIMスワップで逮捕されても、法的保護によりすぐ釈放され、その後同じ犯罪を繰り返す傾向にあります」と注目すべき問題点を主張しています。