SIMスワップ詐欺、モザンビークで被害ゼロに追い込んだ対策
文●谷崎朋子 編集● 大塚/TECH.ASCII.jp
2019年04月25日 07時00分
アフリカの多くの国では、銀行店舗やATMはまだ都市部に集中しており、郊外に住む比較的貧しい農民などは出金のためだけに何十キロも歩いて銀行に出向くことが珍しくないという。こうした不便さを解消してくれるのが、携帯電話やスマートフォンを使って送金ができる「モバイル決済」の仕組みだ。現在のアフリカは、アジアに次いでモバイル決済の取引額が多い地域になっているという。
「わたしが住むモザンビーク共和国では、GDPのおよそ4割に当たる年間約50億米ドルがモバイル決済で取引されている。ふだんの買い物はもちろん、従業員への給与支払いや罰金の支払いもモバイル決済だ。アフリカ全土のモバイルデバイス所持率はおよそ50%と言われるが、これから所持率が増えれば、アフリカはさらに巨大なモバイル決済市場へと発展していくことは間違いない」
2019年4月、シンガポールで開催されたKaspersky Labs主催のセキュリティイベント「Security Analyst Summit 2019」で、CERT Mozambique(モザンビークCERT)のアンドレ・テンレイロ氏はアフリカにおけるモバイル決済事情をこう説明した。
携帯電話番号を乗っ取り金銭を詐取する「SIMスワップ詐欺」の手口とは
だが、こうしたモバイル決済の普及と同時に増加しているのが、そこで取引される金銭を狙った犯罪だ。特に近年では「SIMスワップ詐欺」という攻撃手法が大きな社会問題にまで発展しているという。SIMスワップ詐欺の「SIM」は携帯電話のSIMカード、そして「スワップ(swap)」は切り替えの意味で、ある携帯電話番号にひも付けられたSIM(のID)を強制的に切り替える(切り替えさせる)ことで、その電話番号を乗っ取ってしまう攻撃である。
ただし、その手口はいたってシンプルだ。まず犯人は新しいSIMカードを用意し、携帯通信事業者に「電話機を紛失したので、現在の電話番号のままで新しいSIMに切り替えたい」などとウソの連絡をする。事業者がその説明を信じて、ターゲットとする携帯電話番号に犯人のSIMがひも付けられたらしめたもの。犯人はターゲットの携帯電話番号を乗っ取ることができたことになる。
次に犯人は、その携帯電話番号で登録されているオンラインサービスをチェックしていく。オンラインバンキングなどの金になりそうなサービスが見つかれば、「パスワードの再設定」機能を悪用して認証を突破する。こうしたサービスの多くは、SMS経由でワンタイムパスワードを送信し、それを入力させることで本人確認(認証)を行う仕組みを採用している。しかし、SMSの送信先である携帯電話番号はすでに犯人の手中に落ちており、犯人はワンタイムパスワードをSMSで受け取ることができる。あとはパスワードを変更してログインし、被害者の銀行口座から犯人自身の口座に送金して攻撃完了だ。
もちろん、携帯通信事業者もそう簡単にはだまされない。通常はSIM切り替えを依頼すると、本人確認のための質問が行われる。ただし、過去の情報漏洩事故で流出し出回っている個人情報、ターゲットのSNS投稿から得た情報、TrueCallerサービス(電話番号から所有者の名前を特定するサービス)などをうまく利用すれば、こうした質問も容易に突破できるという。「最後に通話した連絡先5つ」を挙げるよう求める事業者もあるが、事前にターゲットの電話番号宛に着信通知を残し、コールバックを促すことで強引にそれを突破する攻撃者もいる。そんな作業は面倒だと考えるならば、1件10~40ドル程度で作業を代行してくれる“SIM Swap as a Service”も用意されている。
それに加えて「根深い問題」もあると、テンレイロ氏は指摘する。実は多くのケースでは、携帯通信事業者やオンラインバンキング(銀行)の内部にも、犯罪者に賄賂で懐柔された仲間(共犯者)がいるのだという。仮に携帯ショップでSIMの再発行手続きが必要だとしても、携帯通信事業者にいる仲間が“正規の書類”を発行してくれれば、ショップ店員は疑いもなく受け付けてくれるだろう。
SNSアカウントも乗っ取り! 偽のメッセージをばらまく
Kaspersky Labsのファビオ・アッソリーニ氏も、「わたしの住むブラジルでも同じように、SIMスワップ詐欺が深刻な問題となっている」と語る。
ブラジルで5000人の被害者を出したある事件では、SIMスワップ詐欺で電話番号を乗っ取った犯人がメッセンジャーアプリの「WhatsApp」で被害者のアカウントを悪用し、連絡先に登録されている友人たちに「緊急事態が起きた! すぐに金が必要だ」というメッセージをばらまいた。中にはあわてて3000ドル以上を振り込んだ友人もいたという。そしてこの事件でも、携帯通信事業者の内部にSIMスワップを援助した共犯者がいた。
FinTechブームに乗って、ブラジルではクレジットカードの発行や銀行口座の開設が手数料なしでできるモバイルサービスも登場しており、こうしたものも狙われるとアッソリーニ氏は話す。たとえば「Pag!」というオンライン決済アプリで起きた事件では、SIMスワップを実行した犯人がパスワードを再設定して乗っ取り、被害者名義で発行したクレジットカードでおよそ3300ドルを使い込んだという。
「オンラインバンキングの中には、パスワードの再設定はコールセンターに問い合わせないとできない仕組みにしているサービスもある。ただし、本人確認のための質問で『口座残高』や『最後の取引内容』を聞いても、銀行内部に共犯者がいてあらかじめその情報が知らされていれば、何の防止策にもならない」(アッソリーニ氏)
そう語るアッソリーニ氏自身も、実はSIMスワップ詐欺の被害に遭ったことがある。昨年9月、モスクワに出張した際の出来事だ。ふだん使っているスマートフォンで現地キャリアにローミング接続し、初日は問題なく使えたものの、翌朝には急に接続できなくなった。契約しているブラジルの携帯通信事業者に問い合わせたところ、「携帯を盗まれたので別のSIMに切り替えてほしい」との連絡があったと告げられた。典型的なSIMスワップ詐欺のようだ。
アッソリーニ氏は事情を話し、すぐに元のSIMに戻してもらった。念のため、利用しているオンラインサービスで被害がないかを確認した結果、幸いなことに何も被害はなく、ほっと一息ついたと語る。ちなみに、SNSなどを通じて海外出張予定のある人物を狙う詐欺もいくつか観測されているという。
SIMスワップ詐欺の被害をほぼゼロにしたモザンビークの対策とは
最良の対策は、オンラインバンキングやオンラインサービスで、本人確認のためにSMS経由でワンタイムパスワードを送信する認証方法をやめることだろう。しかし、モザンビークでは生体認証やパスコードジェネレーター(Google Authenticatorなど)が使えるスマートフォンではなく、旧型の携帯電話(フィーチャーフォン)がまだまだ主流であり、すぐにSMSの利用をやめるわけにはいかない。
この難しい課題をめぐって、モザンビークでは携帯通信事業者や大手銀行を含むラウンドテーブルを開催。議論の末、たどりついたのが次の図にあるような認証プラットフォームだ。
仕組みを説明しよう。まず銀行は、オンラインバンキングサービスで送金などの取引が発生した際、VPN回線とREST APIを通じて携帯電話事業者に携帯電話番号(MSISDN)と一定の時間(24~72時間)を指定してクエリをかける。これは、指定時間内にその携帯電話番号でSIMの切り替えが行われたかどうかを確認する問い合わせで、事業者はTrue/Falseで応答する。
もしも「True(指定時間内にSIMスワップが行われた)」であれば、オンラインバンキングはその取引を中断し、追加の本人確認手続きを実施する。もちろんSMSのワンタイムパスワードでは意味がないので、「銀行によっては直接窓口に来るよう指示することもある」とテンレイロ氏は説明する。なおクエリのやり取りは自動化されているので、たとえ通信事業者や銀行の内部に共犯者がいても、そこに付け入る隙はない。
モザンビークでは、このプラットフォームを構築した結果、「SIMスワップ詐欺はほぼゼロになった」とテンレイロ氏は語る。
「今のところ対応しているのは大手の携帯通信事業者や大手銀行だけだが、成功を受けて他の事業者も関心を寄せている。モザンビーク政府も効果を高く評価し、すべての事業者や銀行で同プラットフォームに参加するよう、義務化する方向で動きはじめている」(テンレイロ氏)
SIMスワップ詐欺への対策として携帯通信事業者やユーザーがなすべきこと
SIMスワップ詐欺を防止するために、両氏はそれぞれの立場で、次のような対策を行うよう提案している。
携帯通信事業者:取引時の本人確認プロセスを強化する
各種オンラインサービス:SMS認証をただちに廃止し、音声認証など別の認証方法を導入する
ユーザー:二要素認証の手段として、パスコードジェネレーターなどSMS認証以外の方法を利用する
両氏が口を揃えて訴えたのは、「とにかくSMS認証は本気で廃止してもらいたい」ということだ。SIMスワップが成功してしまえば何の意味もないだけでなく、さらには公衆電話交換網で利用される信号方式の1つ「SS7」には盗聴可能な脆弱性があることも判明している。つまりSIMスワップを使わなくても、SMS経由で送信されるワンタイムパスワードは盗まれる可能性があるのだ。
「SIM切り替えの実行前には『ご利用の電話番号はこのSIMカードで使えなくなります』といったSMS通知を送信する、あらかじめ登録した自分の声による音声認証を採用するなど、別途対策を追加し、強化してほしい」と両氏は訴える。
ただし音声認証は、対策としての効果は高いがシステム導入コストも高い。FinTechベンチャーなどにとっては出費が大きく、導入のハードルは高いかもしれない。そうした点で、API経由でクエリをやり取りするだけで済むモザンビークの事例は、ベンチャーの事業活動を阻害することもなく、経済の活性化を下支えするだろう。テンレイロ氏は「大変なのは、関係者全員をラウンドテーブルの席につかせることだけだ」と笑いつつ、このプラットフォームの有効性に胸を張った。
日本ではまだSIMスワップ詐欺による被害は報告されていないが、格安SIMのMNP切り替え手続きを悪用したり、海外出張に行く人物をターゲットにしたりと、攻撃方法はいくつも考えられる。実行される可能性がゼロとは言い切れない。モザンビークの成功事例は、有用なレファレンスになるだろう。
■関連記事