電話番号のセキュリティ会社、efani社のCEOであるハシブ・アワン氏(Haseeb Awan)に、「SIMスワップ」という詐欺の実態についてお話を伺いました。「SIMスワップ」とは、ハッカーが被害者の電話番号情報を乗っ取り、自分たちの管理するSIMカードに入れてコントロールする詐欺を指します。今回のインタビューでは、電話番号の安全性を高める重要性などについて語っていただきました。是非、ご覧ください。
ハシブ・アワン氏(efani社 CEO)
インタビュー日 : 2020年11月9日
ハシブ・アワン氏 インタビュー
Bitcoinとの出会いとBitAccessの設立
こんにちは。ハシブ・アワン(Haseeb Awan)と申します。カナダ系パキスタン人です。efaniのCEOで、BitAccessの共同設立者でもあります。
私はイェール大学で金融市場について学びました。また、Yコンビネーターという、スタートアップ養成スクールの卒業生でもあり、暗号通貨とサイバーセキュリティの分野の知識もあります。
私はBitcoin価格がまだ2桁ドル台の時だった時にBitcoinを発見し、暗号通貨の世界に入りました。Bitcoinを購入したのは価格が上昇していたからで、お金を稼ぐことができるかどうか見てみようと思いました。
その後、私は何人かの友人と知り合い、2013年にBitcoinのATMサービスを作ることにしました。BTCのサービスをはじめると、こうしたサービスがもっと欲しいと言ってくれる人が増えました。それがきっかけとなってBitAccessという会社を立ち上げました。
この会社はBticoinATM(BTM)の世界的なリーディングベンダーで、現在では15カ国にBTMを設置していると思います。BTMを使えば、誰でも現金を入金して、デジタルウォレットにBitcoinを受け取ることができます。また逆にBitcoinを法定通貨に交換することもできます。
SIMスワップ詐欺との戦いとefaniの設立
「SIMスワップ詐欺」とは、ハッカーが被害者の電話番号情報を乗っ取り自分たちの管理するSIMカードに入れてコントロールする詐欺です。もっとわかりやすく言ってしまえば、携帯電話の乗っ取りです。
SIMスワップ詐欺では、ハッカーはまずターゲットになりすまして、キャリア会社のカスタマーサービス担当者を説得して、新しいSIMカードに番号をスワップしてもらう必要があります。より巧妙なケースだと、カスタマーサービス担当者に賄賂を渡して、SIMスワップ詐欺を行うこともあります。
私は何回かSIMスワップ詐欺の被害に遭い、複数回アカウントを乗っ取られました。被害に遭った私は、パズルを解くかのごとく、自分の状況を自分で解決していきました。解決する際、もっていたテレコミュニケーションの知識を実践に移すことができました。
こうして私は自分で問題を解決できたのですが、多くの人が、同じように問題を解決してほしいと言ってくれました。その規模は徐々に大きくなり、いつの間にかefaniを設立していました。
SIMスワップ詐欺のメカニズム
SIMスワップ詐欺の最も一般的な手口は、詐欺師がターゲットになりすましてキャリア会社に連絡することです。この時詐欺師は、キャリア会社の担当者に、本当に契約者本人であると信じ込ませることができるほど巧妙にやります。
詐欺師は、ハッキングで入手した情報やデータの漏洩で出てきた情報、またはSNS上で公開されている情報、最悪の場合には闇のウェブサイトで手にいれてきた個人データを使用します。
キャリア会社のコールセンターの担当者が納得すると、電話番号に元々リンクされていたSIMカードの切り替えが行われ、詐欺師の持つSIMカードへと情報が移ります。電話番号が新しいSIMカードに移行されると、全ての通話やメールが不正なSIMカードに流れてしまいます。
詐欺に遭った時の心理
初めてSIMスワップ詐欺に遭った時は、とても怖くて混乱しました。2回目はさほど気になりませんでしたが、3回目はさすがに動揺しました。4回目になると、とても腹が立ちました。一体何が起こっているのかと混乱するばかりでした。
SIMスワップ詐欺について話には聞いたことがありましたが、まさか自分の身に起きるとは思ってもいませんでした。詐欺に遭った時私はただパソコンの前に座っていました。
その時私は自分のキャリア会社から、SIMカードの切り替えが行われたことを知らせるメッセージを受け取りました。 携帯電話は機能停止になり、私は電話に出ることも電話をかけることもできませんでした。私のSIMカードは使用不能になりました。もっと厳密に言うと、それはもはやもう私のSIMカードでもありませんでした。
妻の携帯電話を借りてカスタマーセンターに電話をかけたところ、数時間後に無事に電話番号を取り戻すことができました。これについて何も知らなかったら被害はもっとひどかったかもしれません。
SIMスワップ詐欺のハッカーによる主な被害
ハッカーによる主な被害は3つあります。まず1つ目は、SIMカードを完全に制御され、パスワードをリセットされて、電子メールアカウントにアクセスされることです。被害者の元にパスワードのリセット通知と認証は届くのですが、それはもはやコントロールできないものとなっているので、まさに悪夢です。
こうしてハッカーは下劣にも、電子メールアカウントを介して、被害者の取引先の銀行などの情報を知ることができます。被害者の暗号資産をトレースしたり、搾り取ったりすることもできるでしょう。
トレーダーや暗号資産投資家は不幸にも、このような不測のSIMスワップ詐欺の餌食になりやすいです。ハッカーは暗号通貨ウォレットをハッキングして被害者に経済的ダメージを与えるのはもちろんですが、詐欺による精神的なダメージも甚大です。
2つ目の被害は、SNSから被害者の個人情報を抽出されることです。情報抽出は主に脅迫目的で行われます。
3つ目の被害は、ハッカーによって精神的に傷つけられることです。彼らはそのうち被害者の資産も交流関係もすべて掌握するので、被害者は計り知れないプレッシャーとストレス下に置かれます。不適切な投稿をしたりすることですることで被害者の評判を貶めることもできます。これは極めて有害な行為です。
efaniの提供するセキュリティ
efaniに登録した顧客は、住所やメールアドレスなどの変更を行う際に11段階の認証をします。時には弁護士を介して法的な手続きをとることもできます。
11段階の認証は、efaniの顧客が利用できる最大数の認証です。全てのアカウントに最低7段階の認証がつきます。認証には、クレジットカードの下4桁や電話番号、SIMカードの番号、といった情報が求められます。
このようにして、SIMカードの情報変更を非常に困難にすることで、SIMスワップ詐欺の可能性がないようにしています。ほとんどのハッカーは、2段階目、3段階目の認証の時点で、面倒なので諦めてしまいます。
仮にハッカーが認証に成功したとしても、新しいSIMカードが使えるようになるまでには7日間の期間があります。さらに詐欺の難易度を上げるために、新しいSIMカードはefaniから直接送られるものを使います。したがってどのSIMカードを使ってもいいというわけではありません。
SIMスワップ詐欺の恐ろしさと問題点
最もひどかったSIMスワップ詐欺の1つは、私の友人が被害に遭ったもので、彼は不幸にもこのSIMスワップ詐欺で約2400万ドルを失ってしまいました。
これは彼がefaniに登録する前のことでしたが、本当に衝撃的なことでした。そして彼の身に起きたことが、誰の身にでも起こりうるというのは実に恐ろしいことです。
セキュリティやプライバシーの問題は、自分の身に事件が起こるまで、人ごとだと思ってしまうという点です。ハッキングの話を聞いても、自分の身に起きたことではないので、悲しい出来事だ、という感想を抱くだけです。
例えばガンでも同じことが言えます。私たちはいつもガンの話を聞きますが、実際にガンになるまでは「自分のことではない」と言います。自分がガンになってみてはじめて、本当に気にするようになるのです。それまでは、否定したり、無視したり、最悪の場合、ささいなことだと軽く見てしまうのです。
電話番号は社会保障番号よりも大切
電話番号は、デジタル・アイデンティティとして、ますます一般的になってきています。電話番号は我々の社会保障番号よりもさらに重要です。アメリカでは社会保障番号は簡単に調べられます。
例えば、電話番号を聞き出せば、その情報を使ってインターネット上で社会保障番号を調べることができます。 電話番号は最重要なセンシティブ情報として考えなければなりません。
しかし問題は、サービスへの登録やアカウントの開設などの際に、企業から電話番号を求められるケースが増えていることです。サービスへの登録やアカウントの開設に電話番号を使用するとことで、名前と電話番号の紐付けが完了し、Googleで調べられるようになります。
ハッカーはこの情報を利用して攻撃を仕掛けます。このような可能性を考慮していない人が大多数ですが、実際に起こっていることなのです。したがって電話番号は、誰かに教えるべきものではありません。しかしながら、誰かに電話番号を尋ねられると、我々は簡単に番号を教えてしまいます。
価格が安くなるほどセキュリティは弱くなる
セキュリティ問題には、人々が安さを求めているがゆえの構造的な問題があります。通信キャリア会社では、人々は一般的に最も安いキャリアのプランを求めるでしょう。
現在はアメリカ製のサイバーセキュリティに依存していたとしても、どこか他の国のより安い代替案があれば、人々はそちらに傾くでしょう。こうして人々が安さを追い求め続けて、セキュリティを、ただで手に入る当たり前の権利だと思ってしまうことが、大きな問題となっているのです。
インタビュー・編集: Lina Kamada
翻訳: Nen Nishihara
【免責事項】
本ウェブサイトに掲載される記事は、情報提供を目的としたものであり、暗号資産取引の勧誘を目的としたものではありません。また、本記事は執筆者の個人的見解であり、BTCボックス株式会社の公式見解を示すものではございません。