米国の投資家マイケル・ターピン氏は、AT&Tが犯人に電話番号を変更させ、それを使って2,400万ドル相当の仮想通貨を盗ませたとして同社を告訴した。
SIMスワップ詐欺の被害者
テルピン氏は2013年にビットコイン投資家向けの初のエンジェルグループ「BitAngels」を共同設立した。1年後には初のデジタル通貨資金調達グループ「BitAngels/Dapps Fund」を共同設立した。
1月、テルピン氏は数百万トークン(当時の価値で2,380万ドル相当)の仮想通貨を盗まれました。テルピン氏の訴状によると、この攻撃は「SIMスワップ詐欺」と呼ばれる手法で行われました。犯罪者は、携帯電話会社に連絡を取り、被害者のふりをして、被害者の電話番号を自分の携帯電話に転送するという、比較的一般的な手法を用いています。
訴状にはこう記されている。
「AT&Tの行為は、ホテルが偽造IDを持つ泥棒に部屋の鍵と金庫の鍵を渡し、金庫の中の宝石を正当な持ち主から盗むようなものだ。」
犯罪者がこのような戦術を採用するのは、この認証方法が2年以上前に米国国立標準技術研究所によって安全ではないと宣言されているにもかかわらず、多くのインターネット サービスとそのユーザーがアカウントを保護するために SMS ベースの 2 要素認証 (2FA) を使い続けているためです。
テルピン氏は現在、攻撃の唯一の責任者であると考えているAT&Tに対し、2,400万ドルの返還と懲罰的損害賠償としてさらに2億ドルの支払いを求めている。AT&Tは、この申し立てに異議を唱えている。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
SMS 2FAの安全性に関する新たな教訓
テルピン氏の事件は、メール、ソーシャルメディア、銀行サービスなど、あらゆるオンラインアカウントの保護にSMSの2FAコードだけに頼ることはできないという、新たな教訓となりました。SIMスワップ詐欺やSS7ハッキングはここ数年で何度も実証されており、今後、より多くの犯罪者がその手口を習得するにつれて、こうした事件の件数は増加し続けると予想されます。
対照的に、Googleが最近発表したように、Universal 2nd Factor(U2F)トークンなどのハードウェアセキュリティキーで保護されたアカウントは「フィッシング不可能」であることが証明されています。つまり、U2Fトークンで保護されたアカウントは、犯罪者に騙されてアカウント認証情報を渡さないように、ユーザーや第三者の警戒に頼る必要がなくなるということです。
U2Fトークンは元のウェブサイトと暗号化されてペアリングされているため、それらのウェブサイトを装った他のウェブサイトでは機能しません。SIMカード間で切り替え可能な携帯電話番号とは異なり、U2Fトークンの暗号化キーも転送できないため、常にお客様の手元にあります。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
