

プリンストン大学が実施した驚くべきテストでは、米国の5大通信事業者が、いわゆるSIMスワップ攻撃から顧客を適切に保護できていないことが明らかになった。
彼らは、標準的なセキュリティ質問に一つも答えることなく、通信事業者に新しいSIMカードに電話番号を割り当てるよう説得することに成功しました。攻撃者が所有するSIMカードに電話番号が再割り当てされると、攻撃者は二要素認証(2FA)で保護されたアカウントであってもパスワードをリセットできるようになります…
プリンストン大学の調査によると、攻撃者が正当なアカウント所有者であることを確認するためのセキュリティの質問に繰り返し誤った回答をした場合でも、通信事業者は再割り当てを許可することが判明した。
私たちは、AT&T、T-Mobile、Tracfone、US Mobile、Verizon Wireless という 5 つの米国のプリペイド キャリアで、このようなリクエストに対してどのような認証メカニズムが適用されているかを調査しました。調査では、50 のプリペイド アカウント (キャリアごとに 10 アカウント) に登録し、その後各アカウントの SIM スワップを電話でリクエストしました。
主な発見は、データ収集時点で5つの通信事業者すべてが、攻撃者によって容易に破られる可能性のある安全でない認証チャレンジを使用していたことです。また、発信者は一般的に、以前に何度もチャレンジに失敗していたとしても、1つのチャレンジに成功すれば認証されることがわかりました。
使われた方法は驚くほど単純でした。発信者は、主要なセキュリティの質問の答えを忘れたと主張し、生年月日や出生地などの質問に答えられないのは、アカウントの設定時に間違いを犯したに違いないと主張しました。
信じられないことに、カスタマーサービス担当者は、最後にかけた2つの電話番号を言うだけで認証を許可しました。調査報告書が指摘しているように、ボイスメールを残したりテキストメッセージを送信したりするだけで、知らない番号に電話をかけるように仕向けるのは非常に簡単です。3つの通信事業者は 、着信 を認証として受け入れることさえありました。つまり、攻撃者は使い捨ての携帯電話から被害者の携帯電話に電話をかけるだけで済むのです。
SIMスワップが完了すると、多くのオンラインサービスでは、SMSでリセットリンクを送信することで、忘れたパスワードをリセットできるようになります。このメッセージは攻撃者に送信され、攻撃者はパスワードをリセットしてアカウントを乗っ取ることになります。
さまざまな業界の17 の Web サイトが、SIM を交換するだけで攻撃者がアカウントを完全に侵害できるようにする認証ポリシーを実装しています。
調査では、すべての通信事業者が脆弱なセキュリティ対策を採用していることも明らかになりました。例えば、アカウントへの最終支払い情報は攻撃者によって破られる可能性がありました。
攻撃者は小売店でリフィル カードを購入し、被害者のアカウントでリフィルを送信し、既知のリフィルを認証として使用して SIM スワップを要求する可能性があります。
SIMスワップ攻撃の容易さは、2FA手段としてのテキストメッセージの弱点を浮き彫りにしています。認証アプリを利用できる場合は、必ず使用してください。
Engadget経由。画像: Shutterstock。
havebin.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。