CoinDesk: FTXハッキング事件 未解のSIMカード盗コインの謎

作者 | Andrew Adams，Coindesk

编译 | 吴说区块链

本文介绍了アメリカ合衆国司法省が最近発表したSIMカードハイジャック事件に関する起訴状について、被告のPowellらがFTXハッキング事件の攻撃者ではないと考えています。また、記事ではSIMカードハイジャックに関するビジネスリスクと暗号業界に対する規制圧力についても紹介しています。

最近、アメリカ合衆国司法省は静かに起訴状を解除し、いくつかの主流および暗号メディアはこの件を迅速に報じ、4億ドルの暗号通貨盗難の謎が「解明された」と称しました。この暗号通貨は、以前に倒産した暗号通貨取引所FTXが保有していました。

しかし、この起訴状は謎を解く鍵ではありません。それは、オンショアおよびオフショアの暗号通貨会社がますます多くの規制や経済的懸念に直面しているという事実を明らかにしています。特に、2022年11月に発生したFTXに対する「SIMカードハイジャック」詐欺事件は、最も基本的な「ハッカー」手法と見なすことができるでしょう。この手法は、身分を盗用し、金融口座の所有者になりすますことに依存しており、主に顧客や口座所有者に対して徐々に陳腐化している二重または多重認証（「2FA」や「MFA」）のプライバシー保護を提供する企業を攻撃します。

アメリカの連邦規制当局は、SIMカードハイジャック攻撃に依存するプライバシー保護プログラムシステムの潜在的な危険性にますます注目しています。連邦通信委員会は新しい規則を策定中であり、最近アメリカ証券取引委員会（SEC）が発表したサイバーセキュリティ規則は、企業にこの特定の脅威に対抗するためのプライバシー保護措置を強化させる可能性が高いです。特に、SEC自身が最近SIMカードハイジャック事件を経験した後、彼らはこの分野の規制を強化する決意をさらに固めたかもしれません。

新たな告発とFTXハッカー

2024年1月24日、コロンビア特別区のアメリカ検察官事務所は「アメリカ対Powellら」というタイトルの起訴状を公開しました。Robert Powell、Carter Rohn、Emily Hernandezが50人以上の被害者の個人識別情報（PII）を共同で盗んだとされています。

この三人は、その後、これらの盗まれた情報を使用して偽の身分証明書を作成し、電気通信事業者を欺いて、身分盗用の被害者の携帯電話アカウントを被告または未命名の「共謀者」が所有する新しいデバイスに移転させました。この三名の被告は、盗まれたPIIを販売しました。

この計画は、被害者の電話番号を犯罪者が制御する物理的な電話に再割り当てすることに依存しており、被害者の番号（本質的には身分）をユーザー識別モジュール（「SIM」）に移転または移植する必要があります。この「カード」は実際には犯罪者の新しいデバイスに保存されています。これが「SIMカードハイジャック」計画と呼ばれています。

アメリカ対Powell事件で述べられているSIMカードハイジャック計画を通じて、被告と未命名の共謀者は無線通信事業者を欺き、合法的なユーザーのSIMカードから携帯電話番号を被告または未命名の共謀者が制御するSIMカードに再割り当てしました。SIMカードハイジャックは、その後、Powellの三人および他の者が被害者のさまざまな金融機関の電子口座にアクセスし、これらの口座から資金を盗むことを可能にしました。

SIMカードハイジャックの被告にとっての主な利点は、新しい詐欺的なデバイス上で、これらの金融口座からのメッセージを傍受できることです。これらのメッセージは、口座にアクセスする者が合法的な口座所有者であるかどうかを確認するためのものです。通常、詐欺が関与しない場合、この認証は合法的なユーザーにSMSメッセージや他のメッセージを送信し、その後、ユーザーがメッセージに含まれるコードを提供することで口座へのアクセスを確認します。しかし、この場合、秘密のコードは詐欺者に直接送信され、彼らはそのコードを使用して口座所有者になりすまし、資金を引き出しました。

Powellの起訴状はFTXを被害者として名指ししていませんが、起訴状に記載された最大のSIMカードハイジャック詐欺事件の告発は明らかにFTXが同社の破産を公に発表した際に発生した「ハッカー」事件を指しています。日付、時間、金額は公開された報告と一致しており、メディアの報道にはFTXがPowellの述べる「被害会社-1」であることを確認する内部者からの調査が含まれています。FTXハッカー事件が発生した際、多くの憶測が肇事者についてありました：内部者の犯行、政府規制機関の暗躍？

Powellの起訴状を報じる多くの記事の見出しは、謎が解明されたと主張しています：三名の被告がFTXハッキングを実行した。しかし、実際には、起訴状の内容は逆の状況を示唆しています。起訴状は三名の被告の名前を正確に挙げ、彼らが個人識別情報（PII）を盗むこと、電話番号を詐欺的に取得したSIMカードに移転すること、FTXへのアクセスコードを販売する行為を詳細に説明していますが、FTXから資金を実際に盗む過程については、起訴状は顕著にこの三名の被告に言及していません。

代わりに、「共謀者がFTXアカウントに無断でアクセスした」と「共謀者がFTXの仮想通貨ウォレットから4億ドル以上の仮想通貨を共謀者が制御する仮想通貨ウォレットに移転した」と述べています。起訴状の起草の慣例では、被告が実施した行為に被告の名前を挙げることが一般的です。ここでは、未命名の「共謀者」が最終的かつ最も重要なステップを取ったのです。これらの「共謀者」が誰であるかの謎は依然として存在し、新たな告発が出るか、裁判がより多くの事実を明らかにするまで続く可能性があります。

規制機関とビジネスリスク

FTX事件は、検察官と規制機関がSIMカードハイジャック計画の単純さと普遍性をますます認識していることを浮き彫りにしています。Powellの起訴状を読むことは、連邦および州検察官が毎年追及する数百件のクレジットカード盗難告発の一つを読むことと何ら変わりません。詐欺行為に関して言えば、SIMカードハイジャックはコストが低く、技術的なハードルも低く、形式化されています。しかし、もしあなたが犯罪者であれば、この方法は効果的です。

SIMカードハイジャックの有効性は、電気通信の反詐欺および認証プロトコルの脆弱性、そして多くのオンラインサービスプロバイダー（金融サービス会社を含む）がデフォルトで使用する比較的弱い反詐欺および認証プログラムの結果です。最近、2023年12月に連邦通信委員会は、無線サービスプロバイダーのSIMカードハイジャックの脆弱性に対処するための報告書と命令を発表しました。この報告書と命令には、無線プロバイダーがPowellの起訴状に記載されたSIMカードの交換を実行する前に、安全な顧客認証方法を使用することが求められていますが、同時に顧客が合法的にデバイスを交換する際に享受する相対的な便利さを維持しようとしています。SIMカードハイジャック行為者が基本的な多要素認証（MFA）や比較的安全でない二要素認証（2FA）を利用する便利さが高まる中で、このバランス行動は電気通信会社やそれに依存するサービスプロバイダー（暗号会社を含む）にとって引き続き課題となるでしょう。

暗号セキュリティ

無線サービスプロバイダーだけが、Powellの起訴状の告発に関連する増大する監視に直面している団体ではありません。このケースは暗号業界にも教訓と警告をもたらします。

たとえPowell事件の被告がFTXウォレットに実際にアクセスして資金を使い果たした人物でなくても、彼らはそうするための認証コードを提供したとされています。この認証コードは、比較的基本的なSIMカードハイジャック計画を通じて取得されたものです。SECの新興サイバーセキュリティ制度の文脈において、このケースはアメリカで運営される取引所がサイバーセキュリティリスクを評価し管理するプロセスを開発する必要性を浮き彫りにしています。FTX事件で実施された「ハッカー」行為を含めて。SEC自身が最近SIMカードハイジャック攻撃の被害者となったことを考慮すると、取引所に対するSIMカードハイジャック攻撃に対する執行部門の関心が高まることが予想されます。

これは、SECや他の規制機関の監視を避けることを望むオフショア取引所にとって不利な立場をもたらす可能性があります。SECが定期的にサイバーセキュリティリスク管理、戦略、ガバナンス情報に関する公開開示を要求することに加え、外部監査が顧客や取引先がこれらの企業がFTX事件のようなリスクを軽減するために講じた措置を理解できるようにしています。オフショア企業は、同様の透明なサイバーセキュリティ開示方法を採用する可能性がありますが、これはこれらの企業が透明性を望むことを前提としていますが、これらの企業は透明性の概念に対して抵抗感を持っているかもしれません------FTXが示すように。暗号会社やプロジェクトは、規制機関や市場から、彼らが採用、開示、展示、維持することを求められる圧力が高まることを予想できます。それは、基本的な詐欺者（Powell事件で述べられた被告のような）が数百万ドルを持ち逃げするのを防ぐことができるレベルをはるかに超えたサイバーセキュリティプラクティスの水準です。