原作者: Andrew Adams、Coindesk
オリジナル編集: Wu Shuo Blockchain
この記事は、SIMカードハイジャック事件に関して米国司法省が最近発表した起訴状を紹介し、この事件の被告であるパウエル氏らはFTXハッキング事件の攻撃者ではないと考えている。同時に記事では、SIMカードのハイジャックによるビジネスリスクや暗号化業界に対する規制圧力の可能性についても紹介している。ウー氏は、以前にもSIMカードのハイジャックに関する関連記事を公開したことがある、と述べた。「予防不可能: なぜこれほど多くの暗号化された Twitter アカウントが盗まれ、フィッシング リンクが投稿されるのでしょうか?」それを防ぐ方法」その攻撃原理と予防策を紹介します。
最近、米国司法省は静かに起訴状を公開し、一部の主流メディアや仮想通貨メディアはこの問題をすぐに報じ、破綻した仮想通貨取引所FTXから以前に盗まれた4億ドルの仮想通貨盗難事件の謎が「解決した」と述べた。
しかし、起訴は謎を解く鍵ではない。これは、オンショアとオフショアの両方で仮想通貨企業が規制上および経済上の懸念の増大に直面しているという事実を浮き彫りにしている。特に、2022年11月に発生したFTXに対する「SIMカードハイジャック」詐欺事件は、ほぼ最も基本的な「ハッキング」手法といえる。この手法は、個人情報を盗み金融口座保有者になりすまし、主に顧客や口座保有者にサービスを提供する企業を攻撃するものである。 2 要素認証または多要素認証 (つまり、「2FA」および「MFA」) など、時代遅れになりつつあるプライバシー保護。
米国の連邦規制当局は、SIM カード ハイジャック攻撃に対して脆弱なプライバシー保護プログラムに依存するシステムの潜在的な損害についての懸念を強めています。連邦通信委員会は新しい規則を策定中であり、米国証券取引委員会 (SEC) による最近のサイバーセキュリティ規制により、企業はこの特定の脅威に対するプライバシー保護の強化を余儀なくされる可能性があります。特に、SEC 自体が少し前に SIM カードのハイジャック事件を経験して以来、この分野での規制を強化する決意を強めている可能性があります。
新たな疑惑とFTXハッカー
2024 年 1 月 24 日、コロンビア特別区連邦検事局は米国対パウエル他と題する起訴状を公開した。と言われているRobert Powell, カーター・ローンとエミリー・ヘルナンデスは協力して、50人以上の被害者の個人識別情報(PII)を盗みました。
その後、このトリオは、電気通信プロバイダーをだまして、個人情報盗難被害者の携帯電話のアカウント番号を、被告または匿名の「共謀者」が所有する新しいデバイスに転送させることを目的として、この盗んだ情報を使用して偽の ID を作成しました。 3 人の被告は盗んだ PII を彼に販売しました。
この計画は、犯罪者が管理する物理的な電話に被害者の電話番号を再割り当てすることに依存しており、そのためには被害者の番号 (本質的には ID) を加入者識別モジュール (または「SIM」) に転送または移植する必要があり、「カードは実際に保存されている」これは「SIM ハイジャック」スキームとして知られています。
米国対パウエル事件で説明されている SIM カード ハイジャック計画を通じて、被告と匿名の共謀者は無線通信プロバイダーをだまして、正規ユーザーの SIM カードから被告または匿名の共謀者が管理する SIM カードに携帯電話番号を再割り当てさせました。その後、SIM カードのハイジャックにより、パウエル トリオとその他の人々がさまざまな金融機関の被害者の電子口座にアクセスし、それらの口座から資金を盗むことが可能になりました。
被告にとっての SIM ハイジャックの主な利点は、アカウントにアクセスする人が正当なアカウント所有者であることを確認するように設計された新しい詐欺的なデバイスで、これらの金融アカウントからのメッセージを傍受できることです。通常、不正行為が関与していない場合、この認証により SMS テキスト メッセージまたはその他のメッセージが正当なユーザーに送信され、正当なユーザーはテキスト メッセージまたはメッセージに含まれるコードを提供することでアカウントへのアクセス試行を検証します。ただし、この場合、秘密コードは詐欺師に直接送信され、詐欺師はそれを使用して口座所有者になりすまし、資金を引き出しました。
パウエル氏の起訴状はFTXを被害者として名指ししていないが、起訴状で述べられている最大規模のSIMジャッキング詐欺事件の容疑は、明らかにFTXが破産を公表した頃にFTXで発生した「ハッキング」事件に言及しているようだ。金額と金額は公的に報告されたハッキングと一致しており、メディア報道には、FTXがパウエル氏が述べた「被害者企業-1」であるという捜査関係者からの確認が含まれている。 FTX ハッキングが発生したとき、犯人について多くの憶測が飛び交いました。内部関係者なのか、それとも舞台裏で活動している政府規制当局なのか?
パウエル氏の起訴を報道する多くの記事の見出しは、謎が解けた、つまり3人の被告がFTXハッキングを実行した、と主張していた。しかし実際には、起訴状の内容はその逆を示唆している。起訴状では被告3人の名前を正確に挙げており、個人識別情報(PII)の窃盗、不正に入手したSIMカードへの電話番号の転送、盗んだFTXアクセスコードの販売などの容疑を詳述しているが、起訴状ではこれらに関する言及が著しく省略されている。 FTX資金の実際の盗難について説明する際の3人の被告。
その代わりに、「共謀者らはFTXアカウントへの不正アクセスを取得した」、「共謀者らはFTXの仮想通貨ウォレットから共謀者が管理する仮想通貨ウォレットに4億ドル以上の仮想通貨を送金した」と述べている。請願は、被告が犯した行為に関連して被告の名前を言及することを目的としています。ここで、最後の最も重要な一歩を踏み出したのは、名もなき「共謀者」たちだった。これらの「共謀者」が誰なのかという謎は依然として残り、新たな容疑が浮上するか、裁判でさらなる事実が明らかになるまで、謎は続く可能性が高い。
規制当局とビジネスリスク
FTX事件は、SIMカードハイジャック計画の単純さと蔓延に対する検察と規制当局の意識の高まりを浮き彫りにしている。パウエルの起訴状を読むことは、連邦の起訴状を読むこと、そして連邦検察官と州検察官が毎年追及する数百件のクレジットカード窃盗罪の一つを読むことと何ら変わりません。詐欺に関して言えば、SIM カードのハイジャックは安価で、ローテクで、形式的なものです。ただし、あなたが犯罪者の場合、この方法は機能します。
SIMカードハイジャックの有効性は主に、電気通信の不正防止および認証プロトコルの脆弱性と、金融サービス会社を含む多くのオンライン サービス プロバイダーがデフォルトで使用している比較的弱い不正防止および認証手順の結果です。ごく最近では、2023 年 12 月に連邦通信委員会が報告書を発行し、ワイヤレス サービス プロバイダーにおける SIM カード ハイジャックの脆弱性に対処することを目的とした措置を講じるよう命令しました。この報告書と命令には、無線プロバイダーに対し、パウエル被告の起訴状で説明されているSIM交換を実行する前に安全な顧客認証方法を使用するよう義務付けると同時に、顧客が自分のデバイスの電話番号を合法的に変更する際に享受できる相対的な利便性を維持するよう求める内容が含まれている。 SIM カード ハイジャック攻撃者が基本的な多要素認証を悪用していることに直面しています (MFA)と、特に安全でない SMS メッセージング チャネルを介した、安全性の低い 2 要素認証(2FA)の利便性に対する意識の高まりにより、このバランスをとる行為は、通信会社と、それに依存する暗号化会社を含むサービス プロバイダーにとって引き続き課題となるでしょう)課題をもたらします。
暗号的に安全
パウエル氏の起訴状に関連して厳しい監視に直面しているのは無線サービスプロバイダーだけではない。この事件は仮想通貨業界にとって教訓と警告ももたらします。
パウエル事件の被告は実際にFTXウォレットにアクセスしてデータを流出させた者ではなかったが、そのための認証コードを提供したとされており、その認証コードは比較的基本的なSIMカードハイジャックスキームを通じて取得されたものだった。 SEC の新たなサイバーセキュリティ体制の文脈において、この訴訟は、米国で運営されている取引所が、FTX 事件で犯された「ハッキング」を含むサイバーセキュリティ リスクを評価および管理するプロセスを開発する必要性を浮き彫りにしています。 SEC 自体が最近 SIM ジャッキング攻撃の被害者になったことを考えると、その執行部門が取引所に対する SIM ジャッキング攻撃にさらに注意を払うことが期待できます。
これにより、SECやその他の規制当局による監視を回避するオフショア取引所が不利になる可能性がある。サイバーセキュリティのリスク管理、戦略、ガバナンスに関する情報を定期的に公開するという SEC の要件は、外部監査と組み合わせることで、FTX のようなインシデントのリスクを軽減するためにこれらの企業が講じている手順を顧客と取引相手が確実に理解できるようにします。オフショア企業もサイバーセキュリティの開示に対して同様に透明性の高いアプローチを取る可能性がありますが、それにはこれらの企業側に透明性を確保する意欲が必要であり、FTX が示したように、これらの企業は透明性の概念に多少抵抗がある可能性があります。仮想通貨企業やプロジェクトは、潜在的な詐欺師(パウエル事件で説明された被告のような)が数百万ドルの暗号資産を持ち歩くのを単に阻止するだけではなく、はるかに強力なセキュリティを採用、開示、実証、維持するよう規制当局や市場からより大きな圧力にさらされることが予想される。ドルが逃げ出す安全保障慣行。
IOS
Android