【前編】スマホを乗っ取るSIMスワップ詐欺とは#1はこちら

サイバー犯罪者がこっそりとSIMを「入れ替え」、スマートフォンを乗っ取ってしまうSIMスワップ詐欺。前回は、その仕組みと実態を紹介しました。今回は、被害の実例と対策を説明します。

SIMスワップ詐欺の被害例

有名人も、SIMスワップ詐欺の被害に遭っています。IT系メディアのZDNetで執筆している、フリーランスジャーナリストのマシュー・ミラー（Matthew Miller）氏は、2019年にSIMスワップ詐欺に遭いました。彼はTwitterのフォロワーを失い、銀行口座から2万5,000米ドル（日本円で約270万円）相当のビットコインを盗まれたのです。最終的にビットコインは戻ってきましたが、様々なアカウントが影響を受けたため、電話番号と結びついた何十個ものパスワードを変更する事態となりました。

「暗号通貨業界の知り合いのほとんどが、電話番号を盗まれていますよ。」ビットコイン起業家のジョビー・ウィークス（Joby Weeks）)氏は、The New York Times紙にそう語っています。その記事では、Cryptochain Capitalのマネージングパートナーであるアダム・ポコーニキー（Adam Pokornicky）氏が遭った被害についても書かれています。彼の携帯電話はインターネットに接続中にハッキングに遭い、彼の全てのアカウントが数分でサイバー犯罪者に掌握されてしまいました。彼のTwitterのハンドルネームは単純だったため、サイバー犯罪者は長い間ポコーニキー氏を狙っていたのです。

最も有名なSIMスワップ詐欺被害の一つに、2016年、人権活動家ディレイ・マッケソン（DeRay Mckesson）氏のTwitterアカウントが乗っ取られた事件があります。また、2019年にはTwitterのCEOであるジャック・ドーシー（Jack Dorsey）氏自身のTwitterアカウントが乗っ取られたほか、女優のジェシカ・アルバ（Jessica Alba）氏、アーティストのキング・バッチ（King Bach）氏、YouTubeなどオンラインで人気のシェーン・ドーソン（Shane Dawson）氏やアマンダ・サーニー（Amanda Cerny）氏まで、多くの有名人が被害に遭っています。

SIMスワップ詐欺の対処法

通信キャリアはSIMスワップ詐欺の対策を進めており、例えば米国の主要キャリアは独自のスマートフォン認証アプリを制作し、「Zenkey」という名前で提供しています。それでも被害に遭わないためには、ユーザーも知識と対策を備えておくことが重要です。

米国の連邦取引委員会によると、まずは被害の原因に対処することが大切だといいます。だいたいの被害の原因は、個人情報の流出です。個人情報を要求する電話やメールには、絶対に応答しないようにしましょう。郵送物の通知メールのような、一見何の変哲もないメールにも注意が必要です。メール内のリンクをクリックすると、個人情報が抜き取られる場合があります。

次に、Facebookの情報漏洩に関するブログでも推奨したように、2つ目の認証要素をSMSから、Google AuthenticatorやAuthyなどの認証アプリに切り替えることをお勧めします。面倒な作業ですが、SIMスワップ詐欺の対策としては非常に有効です。

また、他のサービスにログインする際の認証をFacebookやGoogle、Twitterに頼らず、固有のパスワードを使った別の認証プロセスを設定しましょう。ランダムにパスワードを自動生成するサービスで複雑なパスワードを作成し、パスワードマネージャーなどを使って管理することをお勧めします。

先述のマシュー・ミラー氏の記事では、SIMスワップ詐欺の被害に遭った場合の様々な対処法を紹介しています。基本的な行動として、まずは警察に報告することや、クレジットカード会社に連絡して無効手続きを行うこと、そして電話番号を登録したアカウントのメールアドレスとパスワードを全て変更すること、などが推奨されています。

SIMスワップ詐欺の被害は広範囲に及びます。対策を実践し、スマートフォンと、その電話番号と連携したアカウントをしっかりと保護しましょう。

この記事は2021年4月19日に公開されたSIM swapping: What it is and how to stop itの抄訳です。