【投稿者コメント】
【キーワード】
[実行されたら防げない]、[個人情報漏洩に留意]、[生体情報と照合すべし]
【件名】
「【重要警告】2段階認証も突破する「SIMスワップ」、漏れた個人情報は闇サイトで売買される/偽造身分証明書を携帯店で使ってSIM発行・MNP電話番号引き継ぎで乗っ取る/2段階認証が犯人へ通知されて不正送金!/携帯店での個人認証は生体情報で行え!」
【投稿本文】
下記の【以下転載】は、「SIMスワップ」と云う、「実行されたら、ほぼ防御出来ないスマホ乗っ取り犯罪」の報告だ!
「SIMスワップ」の手口は次の通りだ。
①犯人が事前に個人情報を入手して、これを基に「身分証明書」を偽造(図1参照)
②携帯ショップに赴いて、SIMを再発行したり、MNPで電話番号を引き継いだりする
③攻撃者が手に入れたSIMは被害者の電話番号なので、SMSの確認コードは犯人のスマホに届くので、2段階認証も突破されてしまい、ネットバンキングの不正送金の被害が発生する
ゆえに、この「SIMスワップ」を防ぐ対策は、次の2つしかない!
【1】犯人に偽の身分証明書を作られない様に、個人情報の管理を厳重にして個人情報が漏洩・盗用されない様にする!
図2の様に、個人情報は一般のブラウザではアクセス出来ないダークウェブと呼ばれる闇サイトで売買される。或る闇サイトでは、住所、氏名、電話番号、メールアドレスから家族構成、写真、給与額、銀行口座等まで、ありとあらゆる個人情報を販売していると云う。
【2】携帯ショップでの個人認証を厳格にして、偽の身分証明書(運転免許証、マイナンバーカード等)を見破る。本人だけしか知らない複数の情報(セキュリティコードや履歴情報等)で照合する。
指紋や顔や声や虹彩等の「生体情報」を登録して、これと照合する。
◇
被害を最小化するには、図3の様に、常に携帯電話が使えるか否かを確認して、端末の故障や通信障害でもないのにモバイル通信のアンテナが消えたり、電話が使えなくなったりしたら、すぐに、携帯電話会社に問い合わせるしかない!
◇
各通信キャリアは、情報セキュリティの本家ゆえ、今どき、偽造が簡単な、写真付きの運転免許証、マイナンバーカード等の紙ベースの身分証明書を個人認証に使わずに、予め、偽造不可な指紋や顔や声や虹彩等の「生体情報」を登録しておいて、この登録済みの「生体情報」を個人認証に使うべきだ!
【以下転載】
https://xtech.nikkei.com/atcl/nxt/column/18/02574/090700009/
「2段階認証も突破する「SIMスワップ」、漏れた個人情報は闇サイトで売買される」
日経クロステック 北条 政義 2023.10.13
スマホを狙う新しい手口の「SIMスワップ」も怖い。SIMとは契約情報が記録された小型のICカード。携帯電話番号を乗っ取る手法で、その流れは図1の通りだ。
図1_SIMスワップの手口は、犯人が事前に個人情報を入手してこれを基に身分証明書を偽造。携帯ショップに赴いてSIMを再発行したり、MNPで電話番号を引き継いだりする。攻撃者が手に入れたSIMは被害者の電話番号なので、SMSの確認コードは犯人のスマホに届く。つまり2段階認証も突破されてしまう。すでに国内でもネットバンキングの不正送金の被害が出ている
まず攻撃者はフィッシング詐欺などでターゲットの個人情報やログイン情報を取得し、個人情報を基に身分証を偽造。次に携帯ショップで偽の身分証を提示して本人になりすます。あとは、SIMの紛失を名目に再発行したり、MNP(携帯番号ポータビリティ)を悪用して別のSIMに電話番号を移したりして乗っ取る。こうやってSIMを乗っ取った攻撃者は、SMSを利用した2段階認証も突破できる。つまり、ネットバンキングなどの不正使用につながってしまうのだ。当初は海外で流行していたが、最近は国内でも被害が相次いでいる。
SIMスワップを未然に防ぐのは難しい。最優先は個人情報を守ること。前出のフィッシング詐欺に引っかかるのはもってのほかだ。ひとたび個人情報が漏れればダークウェブと呼ばれる闇サイトで売買されてしまう(図2)。万が一SIMスワップで携帯番号を乗っ取られてしまったら、通信や電話が使用不能になる(図3)。端末の不調や通信障害でもなければ携帯電話会社に問い合わせるのがよいだろう。
図2_個人情報は一般のブラウザーではアクセスできないダークウェブと呼ばれる闇サイトで売買される。ある闇サイトでは住所、氏名、電話番号、メールアドレスから家族構成、写真、給与額、銀行口座などまで、ありとあらゆる個人情報を販売すると記載されていた
図3_実際にSIMスワップの被害に遭っても気が付きにくい。端末の故障や通信障害でもないのにモバイル通信のアンテナが消えたり、電話が使えなくなったりしたら、携帯電話会社に問い合わせたほうがよいだろう