米議員が、SIMスワップ攻撃から消費者を保護できなかった電話会社に説明を求めるよう、米連邦通信委員会(FCC)に対して訴えた。

SIMスワップは、スマートフォンの紛失・盗難時などのSIM再発行を悪用したハッキング手法で、SIMハイジャックやポートアウト(電話番号転出)詐欺とも呼ばれる。悪意のある攻撃者は、多くの企業が認証方式として採用しているSMS認証や自動電話呼び出しといった仕組みと組み合わせて悪用し、オンラインバンクやSNSのアカウントへの侵入などを実行している。

SIMスワップを使ったハッキングで、仮想通貨が盗まれる被害も多発している。昨年にはビットコインを盗まれた被害者がFCCに対策を求める声明を出している

米上院・下院の民主党議員6名は1月9日、FCCのアジット・パイ(Ajit Pai)委員長に手紙を送り、これら攻撃のリスク軽減のため、より強力な要件を電話会社に課すよう要求したという。セキュリティ系ブログ「クレブス・オン・セキュリティ」が1月9日に明らかにした

SIMスワップの被害は増加中

6名のうちのひとり、ロン・ワイデン議員が公開した手紙によると、米連邦取引委員会(FTC)により、SIMスワップ攻撃に関する苦情件数が2016年の215件から2019年11月には728件に増加したと報告されているそうだ。さらに議員らは、消費者による苦情件数は、一般には氷山の一角となっている点を指摘した。

また、「米カリフォルニア州当局と民間企業により、ハイテク犯罪捜査協力のため設立したREACTタスクフォースによると、3000名以上の被害者が存在し、全国で7000万ドル(約77億円)以上の被害が発生している」というウォール・ストリート・ジャーナルの記事を引用した。

議員達は、電話会社の悪質な従業員が原因でSIMスワップがはびこっていると主張。一部の電話会社は、米国内・海外の両方で消費者をSIMスワップ攻撃から保護するポリシーを採用しているという。例えば、顧客が実際に店舗に出向き顧客確認を行わないかぎり、SIMスワップを行えないといったセキュリティ保護オプションを設定できるそうだ。

しかし残念ながら、米国事業者において「これらセキュリティ対策は普及しておらず、消費者は被害が発生し手遅れになるまでこういったオプションの存在や有用性を知る機会がない」という。

このほかにも、サイバー犯罪者または外国政府によるSIMスワップ攻撃が国家の安全保障を危険にさらす可能性も指摘。「アメリカ人が使用している(中略)無数の米政府のウェブサイトは、電子メールによるパスワード・リセットか、SMSによる2要素認証をサポートしている。これらは、SIMスワップ攻撃に悪用される可能性がある」と主張した。

また手紙の最後では、SIMスワップ攻撃による被害報告件数、被害があった場合の追跡、銀行など第三者との調整に関する問い合わせ、電話会社から当局への報告に関する規制など8つの質問を行った。

翻訳・編集 コインテレグラフジャパン