米証券取引委員会(SEC)は、1月9日に現物型ビットコイン上場投資信託(ETF)が承認されたとの虚偽のX(旧ツイッター)投稿がなされた原因が「SIMスワップ」攻撃によるものだったと確認した。
SECの広報担当者は1月22日、「事件発生から2日後、SECの通信キャリアと相談の上、不正な第三者がSIMスワップ攻撃と見られる手口で、関連するアカウントのSEC携帯電話番号のコントロールを取得したことが判明した」と説明した。広報担当者はさらに、「電話番号をコントロール下に置いた後、不正な第三者は@SECGovアカウントのパスワードをリセットした」と付け加えた。
SECは、不正な第三者がキャリアにどのようにしてSIMを変更させ、どのようにしてSECのXアカウントに関連付けられた電話番号を知ったのかについて、現在法執行機関が調査中だとしている。
さらにSECは、攻撃の6ヶ月前に、アカウントへのアクセス問題を理由に職員が2要素認証を解除し、1月9日の攻撃後にそれが復旧されるまでそのセキュリティ対策が復活されなかったことも明らかにした。
SECは、不正な第三者が他のSECのシステム、データ、またはソーシャルメディアアカウントへのアクセスを得た証拠は見つかっていないとも述べている。
SIMスワップは、攻撃者が新しいデバイスに電話番号を再割り当てさせることで、その携帯番号を乗っ取る手法だ。
SECは翌日の1月10日に複数の現物型ビットコインETF申請を公式に承認し、そのほとんどが1月11日から取引を開始している。
翻訳・編集 コインテレグラフジャパン