SIMスワップとは何か?:携帯番号詐取し仮想通貨盗難、米国では通信会社への訴訟に発展

 米国人投資家のマイケル・テルピン氏が8月15日、AT&Tに対して2億2400万ドルの訴訟を起こした。同氏は大手通信事業者であるAT&Tがハッカーに自身の電話番号へのアクセスを供与した結果、大量の仮想通貨が盗まれたと考えている

 マイケル・テルピン氏はプエルトリコ在住の企業家で、トランスフォームグループのCEOを務めている。同氏はビットコイン(BTC)関連のエンジェル投資家グループであるビットエンジェルスと、デジタル通貨関連ファンドであるビットエンジェルスDAppsファンドの共同創設者でもある。

 テルピン氏は、7カ月の間に起こった2度のハッキングで2400万ドル相当を失ったと主張している。カリフォルニアの法律事務所であるグリーンバーグ・グラスカーと共同で同氏が提出した69ページの訴状では、17年6月11日と18年1月7日に発生した2件の事件が説明されている。訴状によると、テルピン氏が90年代から長年契約しているAT&Tは、この両方の事件で同氏のデジタル上の個人情報を保護できなかったという。

 現在テルピン氏はAT&Tに対し、2400万ドルの補償と2億ドルの懲罰的損害賠償を求めている。

 

SIMスワップ詐欺とは?仮想通貨盗難の手口

 訴状によると「AT&Tがしたことは、ホテルが偽IDを持つ泥棒にルームキーと金庫の鍵を渡し、安全な場所にある宝石を正当な所有者から盗ませたようなもの」であり、テルピン氏はSIMスワップ詐欺(SIMハイジャックや「ポートアウト(電話番号転出)詐欺」とも呼ばれる)の被害者だという。

 SIMスワップとは、T‐モバイルのような通信事業者を使って、標的の電話番号をハッカーが持つSIMカードへ移転させる行為だ。一旦電話番号を受け取れば、ハッカーはそれを使って被害者のパスワードをリセットし仮想通貨取引所のアカウントなどに侵入できる。

 マザーボードが記しているように、これにより2段階認証でさえ迂回されることもある。マザーボードの調査によると、SIMスワップは「比較的簡単に行え、広まっており、仮想通貨アカウントが標的になることが多い」という。

 このようなハッキングを行う際に使われる手法は様々だ。顧客サービス担当者をだまして自分が標的だと信じ込ませ、データを入手することもある。しかしマザーボードによると、詐欺師はいわゆる「プラグ」(報酬をもらって違法なスワップを行う通信事業会社内部の人物)を使うことが多いという。SIMハイジャックを行っている匿名の人物はマザーボードに対し次のように語った。

「皆、彼らを使ってる(...)(通信事業会社に勤めている)誰かに金を稼げると言えば、やってくれる」

ベライゾンの匿名の情報筋はマザーボードに対し、レディットを通じて、SIMスワップをする代わりに賄賂を贈ると持ち掛けられたことがあったと語った。べラインゾンの別の従業員は、自分が協力すれば「数カ月で10万ドル」稼げる、「(自分の)勤務中に(ハッカーのために)SIMカードをアクティベートするか、(ハッカーに自分の)従業員IDと個人識別番号を渡す」だけでいい、とハッカーが語ったと述べた。

 テルピン氏の訴訟により関係したこととしては、マザーボードとAT&Tの従業員とのやり取りによると、同社のシステム設計上、電話番号移転の際にAT&Tが要求するパスコードのようなセキュリティ機能を一部の従業員が上書きできるという。

「そこからパスコードを変更できる(…)新たなパスコードを使って、妨げられることなく電話番号を転出できる」

テルピン氏はどのようにハッキングされたのか?

 前述のとおり、テルピン氏は17年6月と18年1月の計2回ハッキングを受けている。

 訴状によると、まず17年夏に電話が突然不通になった際、テルピン氏は自分のAT&Tの電話番号がハッキングされたことを知った。「AT&Tストアでパスワードの入力に11回失敗した後」パスワードが遠隔操作で変更されていたとAT&Tから知らされた。

 ハッカーはテルピン氏の電話へのアクセス権を得た後、通話やメールを含む同氏の個人情報を使って、電話番号を用いて認証を行う「仮想通貨アカウント」など(これらのアカウントの種類は明らかになっていない)に侵入した。ハッカーはさらにテルピン氏のスカイプのアカウントも乗っ取り、テルピン氏に成りすまして顧客の1人に仮想通貨を送るよう促したという。

 ハッカーがテルピン氏から「大量の資金」を盗んだ後になってようやくAT&Tはハッカーへのアクセスを遮断したという。訴状には、この事件後の17年6月13日にテルピン氏がAT&Tの担当者と会ってこのハッキングについて話し合い、AT&Tは同氏のアカウントを有名人が使っているものと同等の「特別に保護」された「より高いセキュリティレベル」に移すと約束したとも記されている。

「AT&Tはさらにテルピン氏に対し、秘密コードを知るのはテルピン氏とその妻だけなので、このセキュリティ対策の強化により、テルピン氏の明確な許可無しに同氏の電話番号が別の電話に移転されることは無くなると語った」

 しかし半年後の18年1月7日、テルピン氏は再度ハッキングを受け、電話は再び不通になったという。訴状では、17年6月に追加のセキュリティ対策が取られたが「AT&Tストアの従業員が詐欺師と共謀しSIMスワップ詐欺を行った」とされている。

「AT&Tが後に認めたように、コネチカット州ノーウィッチのAT&Tストアの従業員がテルピン氏の携帯電話番号を詐欺師に移転していた。これは17年6月11日のハッキング後にまさにこのような詐欺から保護するためにテルピン氏のアカウントに組み入れられた高度なセキュリティを含む、AT&Tによる保証を侵害する行為だった」

 同氏は電話が不通になった後「すぐに」AT&Tに連絡を取ろうとしたが、およそ2400万ドル相当の仮想通貨が盗まれたという。AT&Tは同氏の要請を「無視」し、詐欺師がテルピン氏の仮想通貨アカウントに関する情報を集め同氏の資金を自分のアカウントに移すのに十分な時間を与えたという。訴状によると、当時テルピン氏の妻もAT&Tに連絡を取ろうとしたが、AT&Tの詐欺担当部署に繋げるよう依頼した後「延々と保留のまま」にされたという。

SIMスワップ詐欺の判例となるか

 訴状の要旨では、ポートアウト詐欺の規模の大きさが強調されている。

「AT&Tは約1億4000万人の顧客をSIMカード詐欺から保護するために何もしていない。AT&Tは顧客がSIMスワップ詐欺の標的になっており自社のセキュリティ対策が有効ではないと十分に認識しているので、これらの詐欺に対する直接的な責任がある。あまりにも大規模で対処できないので、AT&Tはこのような詐欺から顧客を守ることを事実上何もしていない」

 この件についてギズモードがAT&Tにコメントを求めたところ、同社は告訴内容を否認し応戦する準備は整っていると語った。

「これらの申し立てに対抗し、法廷で我々の論拠を提示するつもりだ」

 テルピン氏はギズモードに対し、このような仮想通貨盗難は「こういったディスコードのグループに入っている学生」が行っていることが多い語った。同氏は自身の事件ではAT&Tの従業員が利用されたとも主張している。

「(仮想通貨ハッキングに)関連しているのは、どの事件でも内通者がいるという事だ(...)デジタル上の個人情報を誰も公開しなければ(仮想通貨取引は)安全だ」

 同氏は、FBI、国土安全保障省、米シークレットサービスに通報し、これらの組織がハッキングに加わった疑いがあるAT&Tの従業員を特定したと付け加えた。

 テルピン氏はまた、もう電話番号は誰にも公開しない、代わりにグーグルボイスを使うと話している。

どのトークンが盗まれたのか、どこの仮想通貨アカウントを持っていたのかを特定するため、コインテレグラフはテルピン氏の弁護士に連絡した。返答があり次第この記事を更新する。