携帯電話番号を乗っ取る「SIMスワップ」攻撃、SMS認証の安全神話が崩壊

背景

多要素認証（MFA）の手段として広く利用されているSMS（ショートメッセージ）による認証コード送信ですが、その前提となる「携帯電話番号の所有者＝本人」という信頼関係を悪用する「SIMスワップ（SIMハイジャック）」攻撃が深刻化しています。攻撃者は、ソーシャルエンジニアリングや内部協力者を通じて携帯電話会社を騙し、標的の電話番号を攻撃者が用意したSIMカードに移転させます。これにより、SMSで送られる認証コードやワンタイムパスワードが攻撃者の端末に届くようになり、銀行口座、暗号資産ウォレット、SNSアカウント、メールアカウントなどが次々と乗っ取られる事態が発生しています。米国では著名人や暗号資産投資家が数億円規模の被害を受けた事例が報告されており、日本国内でも同様の手口による被害が確認され始めています。

実態

SIMスワップ攻撃は、まず攻撃者が標的の個人情報（氏名、生年月日、住所、電話番号など）を事前に収集することから始まります。これらの情報は、過去の情報漏えい事件で流出したデータベースや、SNSの公開情報、フィッシング攻撃などから入手されます。次に、攻撃者は携帯電話会社のカスタマーサポートに電話をかけ、「携帯電話を紛失した」「SIMカードが破損した」などと偽り、本人確認の質問に対して事前に収集した情報で答えます。携帯電話会社の担当者がこれを信じてしまうと、標的の電話番号が攻撃者の用意した新しいSIMカードに移転されます。一部のケースでは、携帯電話会社の従業員を買収したり、店舗スタッフを装って内部システムにアクセスしたりする手口も確認されています。SIMスワップが完了すると、標的の携帯電話は圏外となり、同時に攻撃者の端末にSMSが届き始めます。攻撃者は即座にパスワードリセット機能を悪用し、SMS認証を突破して各種アカウントを乗っ取ります。特に、メールアカウントが乗っ取られると、そこを起点に他のサービスのパスワードリセットが連鎖的に行われ、被害が急速に拡大します。

影響と対策

SIMスワップ攻撃による被害は、金融資産の不正送金、暗号資産の窃取、SNSアカウントの乗っ取りによる詐欺の踏み台化、企業アカウントの乗っ取りによる業務妨害など多岐にわたります。対策としては、まずSMS認証に依存しない、より強固な多要素認証方式への移行が重要です。具体的には、認証アプリ（Google Authenticator、Microsoft Authenticatorなど）を使用したTOTP（Time-based One-Time Password）、ハードウェアトークン（YubiKeyなど）を使用したFIDO2認証、生体認証などが推奨されます。やむを得ずSMS認証を使用する場合でも、携帯電話会社に「SIMロック」や「番号移転時の厳格な本人確認」を申請しておくことが有効です。企業においては、重要なアカウント（管理者アカウント、財務システムアクセス権など）については、SMS認証を禁止し、FIDO2などのフィッシング耐性のある認証方式を義務付けるポリシーの策定が必要です。また、FortiGateやCheck Pointのゼロトラスト・ネットワークアクセス（ZTNA）機能では、認証方式の強度に応じたアクセス制御が可能であり、SMS認証のみのユーザーには制限付きアクセスのみを許可するといった柔軟な運用も実現できます。

まとめ

SMS認証は手軽で普及していますが、SIMスワップ攻撃により「最弱の多要素認証」となりつつあります。重要なアカウントについては、より強固な認証方式への移行が急務です。特に金融資産や機密情報を扱うアカウントでは、SMS認証からの脱却が不可欠です。PSIでは、ネットワーク製品を通じた認証強度に応じたアクセス制御と、FIDO2などの最新認証技術の導入支援により、SIMスワップ攻撃を含む認証突破型攻撃への耐性を高めるご支援をいたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp