暗号化された Twitter アカウントが大量に盗まれました。SIM カード交換攻撃を防ぐにはどうすればよいですか?

出典: コインテレグラフ

オリジナルの編集:ウー氏はブロックチェーンについて

7月21日、Uniswap創設者ヘイデン・アダムスのTwitterアカウントがハッキングされ、フィッシングリンクを含むツイートを投稿した。このハッキングは SIM カード盗難の一種である可能性があり、攻撃者が被害者の電話番号を乗っ取り、銀行口座、クレジット カード、口座にアクセスできるようにするものである可能性があると報告されています。

7月23日には、Coinlistのアカウントもハッキングされ、フィッシングリンクが投稿された。このほか、7月5日にLayerZeroのTwitterアカウントが盗まれ、6月にはDEX取引集約プラットフォームSlingshotの公式Twitterアカウントが盗まれ、BitBoy創設者ベン・アームストロング氏のTwitterアカウントが盗まれるなどした。なぜ大量の暗号化アカウントが盗まれるのでしょうか?ユーザーはそれをどのように防ぐべきでしょうか?

以下はコインテレグラフの記事の全文翻訳です（元のリンク）：

SIM スワッピング攻撃には一般的に技術的なスキルはほとんど必要ないと考えられているため、ユーザーは自分の ID のセキュリティについて常に警戒する必要があります。サイバーセキュリティ インフラストラクチャは改善し続けていますが、オンライン ID は依然として多くのリスクに直面しています。これには、ユーザーの電話番号がハッキングされることに関連するリスクも含まれます。

7 月初旬、LayerZero CEO の Bryan Pellegrino 氏は、最新の SIM スワップ攻撃の被害者の 1 人となり、ハッカーによって彼の Twitter アカウントが短期間乗っ取られることになりました。ペレグリーノ氏は自身のツイッターアカウントを取り戻した直後、「誰かが私のIDをゴミ箱から取り出し、私がコリジョンを離れるときにどういうわけかエージェントを騙してSIMカードとして使用させたのではないかと推測している。IDを置き換えた」とペレグリーノ氏はコインテレグラフに語った。 「ブライアン・ペレグリノ – 講演者」の定期的な紙の会議パス。」

Pellegrino 氏の経験から、ユーザーは SIM スワップ攻撃を実行するのは他人の ID を盗むのと同じくらい簡単だと考えるかもしれません。コインテレグラフはこれが真実かどうかを確認するために、多くの仮想通貨セキュリティ会社に連絡を取った。

SIMスワップ攻撃とは

SIM スワップ攻撃は個人情報盗難の一形態であり、攻撃者が被害者の電話番号を乗っ取り、銀行、クレジット カード、または暗号通貨の口座にアクセスできるようにします。

2021 年、FBI は 6,800 万ドル以上の損失を伴う SIM カード交換に関する苦情を 1,600 件以上受け取りました。これは、過去 3 年間に寄せられた苦情と比較して苦情が 400% 増加していることを表しており、SIM スワップ攻撃が「確実に増加している」ことを示していると CertiK のセキュリティ運用ディレクター、ヒュー・ブルックス氏はコインテレグラフに語った。 「テキストメッセージに依存した2段階認証から脱却し、通信事業者がセキュリティ基準を改善しなければ、攻撃の数は今後も増え続けるかもしれない」とブルックス氏は述べた。

SlowMist Security の最高情報セキュリティ責任者である 23 pds 氏によると、SIM スワッピング攻撃は現在あまり一般的ではありませんが、近い将来に大きな成長の可能性があるとのことです。 「Web3の人気が高まり、より多くの人がこの業界に引き込まれるにつれて、その技術要件が比較的低いため、SIMスワッピング攻撃の可能性も高まるだろう」と同氏は述べた。

23 の pds は、過去数年間に発生した仮想通貨に関連した SIM スワップ ハッキング事件について言及しました。 2021年10月、Coinbaseは2段階認証（2FA）の脆弱性によりハッカーが少なくとも6,000人の顧客から暗号通貨を盗んだことを正式に明らかにした。これに先立って、英国のハッカー、ジョセフ・オコナーは2019年に複数のSIMカード交換攻撃を通じて約80万ドルの暗号通貨を盗んだ罪で起訴された。

SIMスワップ攻撃の実行はどのくらい難しいのか

CertiK 幹部によると、SIM スワッピング攻撃は、公開されている情報やソーシャル エンジニアリング技術を通じて取得した情報を使用して実行されることがよくあります。 「全体として、SIM スワッピングは、スマート コントラクトのエクスプロイトや取引所のハッキングなど、技術的に要求の高い攻撃に比べて、攻撃者にとって参入障壁が低いと考えられるかもしれません」と CertiK のブルックス氏は述べています。

SlowMist の 23 人は、SIM の交換には高度な技術スキルは必要ないことに同意しています。同氏はまた、この種の SIM スワッピングは Web2 の世界では「一般的」であるため、Web3 環境でも発生するのは「驚くべきことではない」とも指摘しました。 「多くの場合、ソーシャルエンジニアリング技術を使用してオペレーターや顧客サービス担当者を騙すほうが実行が容易です」と同氏は述べた。

SIM スワップ攻撃を防ぐ方法

SIM スワッピング攻撃は通常、ハッカーにそれほど技術的なスキルを必要としないため、ユーザーはそのような攻撃を防ぐために自分の ID のセキュリティに注意する必要があります。

SIM スワッピング攻撃に対する主な保護は、SIM ベースの 2 段階認証方法の使用を制限することです。 Hackens Budrin 氏は、SMS などの方法に依存するよりも、Google Authenticator や Authy などのアプリを使用する方が良いと指摘しています。

SlowMist の 23 の pds では、多要素認証や追加のパスワードなどの強化されたアカウント検証などのさらなる戦略についても言及しています。同氏はまた、ユーザーに対して、SIM カードや携帯電話のアカウントに強力なパスワードや PIN を設定することを強く推奨しています。

SIM の交換を回避するもう 1 つの方法は、名前、住所、電話番号、生年月日などの個人データを保護することです。 SlowMist の 23 pds では、オンライン アカウントに異常なアクティビティがないか注意深く確認することも推奨しています。

CertiK の Brooks 氏は、安全な 2 要素認証の実践を促進する責任もプラットフォームにあるべきであると強調しました。たとえば、企業はアカウント情報の変更を許可する前に追加の検証を要求したり、SIM 交換のリスクについてユーザーを教育したりすることができます。