SIMスワッピング
定義
SIMスワッピングとは攻撃者が通信キャリアのカスタマーサポートに被害者になりすまし、SIMカードの再発行手続きを行って被害者の電話番号を攻撃者のSIMに移管させる攻撃です。成功すると被害者宛てのSMS(二段階認証コード・パスワードリセット通知)がすべて攻撃者に届くようになります。移管に必要な個人情報(生年月日・住所・アカウント番号など)はOSINTや事前のフィッシングで収集されており、カスタマーサポートの本人確認が不十分な場合に成立します。SNSアカウント・暗号資産取引所・銀行口座の乗っ取りに多用されており、有名人・暗号資産富裕層を狙った高額被害が繰り返し報告されています。対策としてはSMS OTPをTOTPアプリやFIDO2/パスキーに移行すること、通信キャリアのアカウントにPIN/パスフレーズを設定してSIMポーティングに追加認証を要求させることが有効です。
関連用語
よくある質問
SIMスワッピングとは?
攻撃者が通信キャリアのサポートに被害者を騙って電話番号を自分のSIMカードに移管させる攻撃。SMS認証(2FA)を乗っ取り、銀行口座・暗号資産・SNSアカウントの乗っ取りに使われる。
同じカテゴリの用語(攻撃手法)
攻撃者が正規サービスと利用者の間に入り、認証情報やセッションを中継・窃取するフィッシング手法。…
国家支援組織や高度な技術を持つ攻撃グループによる長期・潜伏型の標的型攻撃。数ヶ月〜数年かけて侵入・維持・情報収集を行う。…
取引先や経営者になりすまして送金、請求書変更、機密情報送付を促すビジネスメール詐欺。…
実在ブランド、取引先、社内組織になりすまし、利用者に誤操作や情報入力を促す攻撃。…
ログインID、パスワード、トークン、MFAコードなどの認証情報を大量または継続的に収集する行為。…
他サービスから漏えいしたIDとパスワードの組み合わせを使い、別サービスへのログインを試す攻撃。…