フレンドテックのテクノロジーはセキュリティーには及ばない
フレンドテックのハッキングがどのように、そしてなぜこれほど多くの人々に影響を与えたのかをよりよく理解するためには、まず攻撃者がどのようにして実際に攻撃を実行することができたのかを深く掘り下げることが有効かもしれない。
Coinliveは複数のセキュリティ専門家に話を聞き、SIMスワップ攻撃がどれほど複雑なのかを調べた。
「SIMスワップ攻撃は、一般的に共通のスクリプトに従って行われる。攻撃者は、意図する被害者の個人情報を収集し、それを使って、被害者の電話番号を不正なSIMカードに転送するよう通信事業者を説得する。この時点で、ワンタイムパスワードとメッセージはすべてこの新しい不正SIMカードにリダイレクトされるため、攻撃者はパスワードのリセットを試みることができる。
-エリック・ジャーディン、Chainalysis社サイバー犯罪リサーチ・リード
3NUMの創設者であるタイラー・ボスコロは、SIMスワップ攻撃を成功させるために必要な要件は、実際にはごくわずかであると指摘する。
「詐欺のやり方によっては、誰かの名前を知っているだけで、ハッキングに必要な情報を見つけることができる。
ボスコロ氏はまた、こうしたハッキングには2つの方法があると指摘する。ひとつはソーシャル・エンジニアリングで、ハッカーが電話会社の従業員を騙して、ハッカーが顧客であると信じ込ませる方法である。これは、被害者の名前、電話番号、口座番号、請求先住所などの識別情報を収集することによって行うことができる。
もう一つの方法は、単に電話会社の従業員に賄賂を贈るというもので、対象キャリアによっては、賄賂が5000米ドル程度の場合もある。
また、Web3とブロックチェーンのセキュリティ企業であるサイバースコープは、これらのハッキングは技術的に困難ではないと指摘している。
ハッカーは自分のSIMカードさえ持っていれば、世界中のどこからでも、たとえ自宅にいても、実際に攻撃を実行することができる。
「サービス・プロバイダーが個人情報にアクセスできるのであれば、電話をかけるだけでいい。
そして、この個人データを見つけるのは必ずしも難しいことではない。ソーシャル・メディアのプロフィールから採取されたり、ハッカーから闇市場で購入されたり、フィッシング・サイトを通じて盗まれたり、被害者を騙して個人情報を開示させることを目的とした直接的なソーシャル・エンジニアリングの手口で入手されたりする。
一旦SIMスワップが完了すると、被害者は多くの場合、取り返しのつかない損害を被ることになる。
サイバースコープ・チームは、被害者に対し、サービス・プロバイダーに直接連絡し、詐欺SIMカードの無効化を試み、ソーシャルメディア・アカウントが侵害されたことを報告するようアドバイスしているが、攻撃への反応は非常に重要である。
しかし、Zokyo社のCTOであるアンドレイ・ステファンは、ハッキングが成功した後の対応の有効性に疑問を呈している。モバイル・サービス・プロバイダーは、被害者が電話番号のコントロールを取り戻すのを手助けすることはできるが、そのプロセス自体が困難な場合もある。
さらに、攻撃が進行中であるという警告のサインは、携帯電話番号に予期せぬメッセージを受信するという単純なものである可能性もあり、簡単に見過ごされてしまうかもしれない。
「SIMスワップ攻撃が進行中である可能性を示す大きな警告サインは、悪意ある行為者が番号を乗っ取った場合、デバイスが接続できなくなることである。攻撃の初期段階では、サービス変更に関するテキストアラートが問題の先行指標となり得る。攻撃の後期段階では、ソーシャルメディアやその他のアカウントでログイン認証情報が変更されている可能性があります。
-エリック・ジャーディン、Chainalysis社サイバー犯罪リサーチ・リード