ビットコインの盗難手法に「SIMスワップ」が登場 スマホの電話番号盗み取る

真田雅幸
2018-08-24
(
Fri
)

米カリフォルニアで他人の携帯電話のSIMを利用しビットコインを盗んでいたハッカーが逮捕された。被害額は100万ドル以上にのぼり、犯人は盗んだお金を高級スポーツカーを購入するなどに使っていた。

サンタクララ市警察の報告によると、逮捕されたのは19歳のXzavyer Narvaez容疑者だ。Narvaez容疑者は、第三者の携帯電話に挿入されているSIMを別のSIMにすり替える「SIMスワップ」と呼ばれる犯行を繰り返していた。オンラインアカウントのSMS認証を突破する目的でSIMを盗んでいた。

携帯電話本体ではなくSIMを盗んだのは、被害者が犯行の有無に気づきにくいといった点からだと推測される。Narvaez容疑者は、盗んだSIMを使い被害者のオンラインウォレットや取引所のアカウントを乗っ取り、ビットコインを盗み出していた。

今年の3月から6月にNarvaez容疑者は、仮想通貨取引所Bittrexを利用し152BTCを取引している。また、ビットコインのペイメント・サービスを提供するBitpayを使い、イギリスの高級車マクラーレンを購入していることがわかっている。

今回の事件では少なくとも28個のSIMが盗まれ、被害者のアカウントが乗っ取られている。SIMカードにはそれぞれ電話番号が振り分けられており、2段階認証に使われることがある。Narvaez容疑者は、盗んだSIMと2段階認証を利用しビットコインを盗んでいた。

Narvaez容疑者はSIMに紐付いたメールアドレスなどの個人情報を入手し、被害者のアカウントのパスワードを変更していた。また、パスワードの変更時のロックを解除するためにSIMに紐付いた電話番号を使っていた。

ユーザーは取引所の登録アカウントに2段階認証設定を行うことで、不正アクセスを防止することができる。しかしSIMや携帯電話を盗まれると、今回のように不正アクセスに利用される可能性がある。

電話番号やGoogle Authenticatorのようなアプリを使って2段階認証設定を行っているユーザーは、SIMや携帯電話の紛失盗難には十分な注意が必要だ。

krebsonsecurity

No items found.
Latest Post