電話番号を乗っ取る「SIMスワッピング(SIM swapping)」と呼ばれる手口で暗号通貨500万ドルを盗んだとされる大学生が、罪を認めて禁固10年の刑を受けたとWebメディアのマザーボード(Motherboard)が報じている。
「デジタル・スリ」ともいえるSIMスワッピングは、最初に電話番号を乗っ取り(たとえば、携帯電話の使用者になりしましてモバイル通信事業者から新しい SIMカードを入手する)、次に暗号通貨のウォレット・アプリのパスワードをリセットして通貨を引き出すというものだ。この数年で、ひときわ頻繁にみられる被害レベルの高い攻撃だ。攻撃者は、高額のビットコインや他の暗号通貨を保有していることで知られる著名な人々を標的としていると見られている。
2018年8月、著名な暗号通貨投資家マイケル・ターピンが、過失によって個人口座から暗号通貨が盗まれたとして、AT&Tを相手に訴訟を起こした。11月には、暗号通貨に特化するある米国企業も、SIMスワッピングの被害者たちを代表し、AT&TとT-モバイル(T-Mobile)を相手取って訴訟を起こしている。さらに2月1日には、20歳の若者が米国内の各地において標的とした人々に対してSIMスワッピング攻撃を50回以上もしたとしてニューヨークで起訴された。
現在、数十億ドルにも相当する暗号通貨がオンラインで流通しているが、適切に保護されていないことも珍しくない。プロ集団のような巧妙な犯罪を犯すハッカーには魅力的に映り、目をつけるようになっている。ブロックチェーンは本来いくつかのセキュリティ上の利点があるが、その一方で、ユーザーの秘密鍵が保存されている交換所やウォレット・サービスは犯罪者の食い物にされやすい弱点がある。SIMスワッピングはまさにそこを突いた手口の1つなのだ。ここで学ぶべきことは単純だ。自分の鍵が管理できないなら、自分の暗号通貨も管理できない、ということだ。
