SIMカード置換攻撃：なぜ大量の暗号Twitterアカウントがハッキングされ、フィッシングリンクが投稿されたのか？私たちはどのように防ぐべきか。

原文：Cointelegraph

編譯：吴说区块链

7月21日、Uniswapの創設者Hayden AdamsのTwitterアカウントがハッキングされ、フィッシングリンクを含むツイートが投稿されました。今回のハッキングはSIMカードスワップの一種である可能性があり、攻撃者が被害者の電話番号を引き継ぎ、銀行口座、クレジットカード、またはアカウントにアクセスできるようにします。

7月23日、Coinlistのアカウントもハッカーに侵入され、フィッシングリンクが投稿されました。また、7月5日にはLayerZeroのTwitterアカウントが盗まれ、6月にはDEX取引集約プラットフォームSlingshotの公式Twitterアカウントが盗まれ、BitBoyの創設者Ben ArmstrongのTwitterアカウントも盗まれるなどの事例がありました。なぜ多くの暗号アカウントが盗まれるのでしょうか？ユーザーはどのように防ぐべきでしょうか？

以下はCointelegraphの記事の全文翻訳で、原文リンク：

https://cointelegraph.com/news/crypto-sim-swap-how-easy-is-sim-swap-crypto-hack

SIMカードスワップ攻撃は通常、技術的スキルの要求が低いと見なされるため、ユーザーは自分の身元の安全に対して警戒を怠らない必要があります。ネットワークセキュリティのインフラは常に向上していますが、オンラインの身元は依然として多くのリスクにさらされており、ユーザーの電話番号がハッキングされるリスクも含まれます。

7月初め、LayerZeroのCEOブライアン・ペレグリーノが最新のSIMカードスワップ攻撃の被害者の一人となり、ハッカーが彼のTwitterアカウントを一時的に引き継ぎました。ペレグリーノはTwitterアカウントを取り戻した後すぐに、「誰かがゴミ箱から私の身分証明書を持ち去り、Collisionを離れる際に代理店を何らかの方法で欺いて、SIMカードスワップの身分証明書として使用したと思います。」と書きました。ペレグリーノはCointelegraphに対して、「それはただの『Bryan Pellegrino ------ スピーカー』の普通の紙の会議証明書でした。」と述べました。

ペレグリーノのこの経験は、ユーザーにとってSIMカードスワップ攻撃を実行するのが他人の身分証明書を持ち去るように簡単だと思わせるかもしれません。Cointelegraphは、これが事実かどうかを確認するためにいくつかの暗号通貨セキュリティ会社に連絡を取りました。

SIMカードスワップ攻撃とは

SIMカードスワップ攻撃は、攻撃者が被害者の電話番号を引き継ぎ、銀行口座、クレジットカード、または暗号通貨アカウントにアクセスできるようにする身分盗用の一形態です。

2021年、アメリカ連邦捜査局は、6800万ドル以上の損失に関する1600件以上のSIMカードスワップの苦情を受け取りました。これは、前の3年間に受け取った苦情と比較して400％の増加を示しており、SIMカードスワップ攻撃が「確実に増加している」とCertiKのセキュリティ運営責任者ヒュー・ブルックスはCointelegraphに語りました。ブルックスは、「SMSに依存した二段階認証から脱却し、通信事業者がセキュリティ基準を向上させない限り、攻撃の数は引き続き増加する可能性があります。」と述べました。

SlowMistのCISOである23pdsは、SIMカードスワップ攻撃は現在それほど一般的ではないが、近い将来に著しい成長の可能性があると述べています。彼は、「Web3の人気が高まるにつれて、より多くの人々がこの業界に引き込まれ、相対的に低い技術的要求のために、SIMカードスワップ攻撃の可能性も増加するでしょう。」と述べました。

23pdsは、過去数年間に暗号通貨に関連するSIMカードスワップハッキング攻撃のいくつかの事例を挙げました。2021年10月、Coinbaseは公式に、二段階認証（2FA）の脆弱性により、ハッカーが少なくとも6000人の顧客から暗号通貨を盗んだことを明らかにしました。それ以前には、イギリスのハッカーであるジョセフ・オコナーが2019年に複数回のSIMカードスワップ攻撃を通じて約80万ドルの暗号通貨を盗んだとして起訴されました。

SIMカードスワップ攻撃の実行難易度

CertiKの幹部によると、SIMカードスワップ攻撃は通常、公開情報や社会工学的手法を通じて取得した情報を利用して実行されます。CertiKのブルックスは、「一般的に、スマートコントラクトの悪用や取引所のハッキング攻撃など、技術的要求が高い攻撃と比較して、SIMカードスワップは攻撃者にとっての入門のハードルが低いと見なされるかもしれません。」と述べました。

SlowMistの23pdsも、SIMカードスワップには高度な技術スキルが必要ないことに同意しました。彼はまた、このSIMカードスワップがWeb2の世界で「一般的に存在している」ため、Web3環境での出現も「驚くべきことではない」と指摘しました。彼は、「実行するのは通常より簡単で、社会工学的手法を使って関連する通信事業者やカスタマーサービスの担当者を欺くことができます。」と述べました。

SIMカードスワップ攻撃を防ぐ方法

SIMカードスワップ攻撃は通常、ハッカーの技術的スキルがそれほど高くないため、ユーザーはこのような攻撃を防ぐために自分の身元の安全に対して警戒を怠らない必要があります。

SIMカードスワップ攻撃を防ぐための核心的な保護策は、SIMカードベースの二次認証方法の使用を制限することです。Hackenのブドリンは、SMSなどの方法に依存するよりも、Google AuthenticatorやAuthyのようなアプリを使用する方が良いと指摘しました。

SlowMistの23pdsも、追加のパスワードなどの強化されたアカウント検証や多要素認証など、さらに多くの戦略を挙げました。彼はまた、ユーザーに対してSIMカードや携帯電話アカウントに強力なパスワードやPINコードを設定することを強く推奨しました。

SIMカードスワップを避けるもう一つの方法は、名前、住所、電話番号、生年月日などの個人データを保護することです。SlowMistの23pdsは、オンラインアカウントに異常な活動がないかを注意深く確認することも推奨しています。

CertiKのブルックスは、プラットフォームも安全な二次認証の実践を促進する責任があると強調しました。たとえば、会社はアカウント情報の変更を許可する前に追加の検証を要求し、ユーザーにSIMカードスワップのリスクについて教育することができます。