Shaun Cooney(プロモン社 チーフプロダクト&テクノロジーオフィサー)
2025年7月10日
読了時間:5分
出典:Tero Vesalainen / Alamy ストックフォト
論説
英国のナショナル・フロード・データベースの最新データによると、SIMスワップ詐欺の件数が昨年比で10倍に増加しています。犯罪者は携帯電話番号を乗っ取り、二要素認証(2FA)コードを傍受し、ユーザーアカウントを乗っ取ったり、Marks & Spencerのような事例では企業システムを侵害したりしています。
多くの人にとって、それは災難のように聞こえるでしょう。しかしセキュリティの専門家にとっては、より複雑な意味合いがあります。この増加は、攻撃者が新たな領域に追い込まれていることを示しています。組織がようやく多要素認証を大規模に導入し始めたため、パスワードの総当たり攻撃だけでは不十分になってきたのです。
これが良いニュースです。悪いニュースは、多くの第二要素が根本的に安全でないSMSテキストメッセージに依存していることです。
SMSの偽りの安心感
この20年間で多くを学んできたにもかかわらず、SMSは二要素認証で広く使われ続けています。簡単で普及している一方、根本的な欠陥があります。SMSは暗号化されておらず、傍受される可能性があり、もともとセキュリティを考慮していなかったSS7のような旧式の通信プロトコルに依存しています。
SMSはまた、私たちのSIMカードと結びついており、これも簡単に乗っ取られます。率直に言って、2FAにSMSを使うのは、大金庫のドアを設置して財産を守りながら、その暗証番号を付箋に書いてドアの前に貼っておくようなものです。せっかくのセキュリティが台無しです。
そう考えると、SIMスワップ詐欺の増加は驚くべきことではありません。この手法は何年も前から使われてきました。これは高度な技術的侵害ではなく、摩擦の少ないソーシャルエンジニアリングの結果です。攻撃者は流出した個人情報やコールセンターの台本を利用し、携帯キャリアを騙して新しいSIMや自分が管理するeSIMを発行させます。物理的な制約もなく、ユーザーに気付かれにくいため、被害が発生するまで発覚しないことが多いのです。
利便性が強靭性に優先されている
本当の問題は、スワップそのものではありません。その後に起こることです。電話番号がバックアップログイン、本人確認、パスワードリセットのトリガーとして使われると、それが単一障害点となります。番号はもはや単なる連絡先情報ではなく、実質的にベアラートークンとなり、これこそが真の脆弱性です。
業界は長年、利便性をセキュリティアーキテクチャの基準にしてきました。SMSベースの2FAは第二要素がないよりはマシですが、依然としてセキュリティチェーンの根本的な弱点です。
例えば、2FAは荷物の受け取りに2つの署名(自分と、本人確認されたもう一人)が必要なようなものです。しかし、その2つ目の署名をSMSでやり取りするのは、配達員が混雑した通りで大声で呼びかけて、正しい人が聞き取ってくれるのを期待するようなものです。誰でもそれを傍受して荷物を持ち去ることができてしまいます。
通信事業者:セキュリティの弱点
通信事業者は、見落とされがちなセキュリティ上の弱点です。モバイルエコシステムはキャリア間の暗黙の信頼、今日のセキュリティ要件を考慮していないプロトコルや標準、そして知識ベース認証に大きく依存したカスタマーサポートプロセスに支えられています。しかし、この手法は広範な個人情報(PII)漏洩により、すでに破綻しています。
eSIMの導入で状況はさらに流動的になっています。eSIMはユーザー体験を向上させますが、攻撃者にとっても障壁を下げます。詐欺師はもはや物理的なSIMカードや盗難品を必要とせず、説得力のある電話一本で済んでしまうのです。
企業は、自社の高度なコード難読化や改ざん防止機構にリソースを投入しても、悪意ある第三者が裏口から簡単にすべてを回避できるなら、それは何の意味があるのか自問すべきです。これが今日の脅威環境の不条理さです。攻撃者はアプリをリバースエンジニアリングする必要はなく、ユーザーになりすまして外部からすべてをリセットできてしまうのです。
本当のセキュリティはすでに存在する
唯一有効な対応策は、フィッシングやクレデンシャルスタッフィング、SIMベースのリダイレクトに強い現代的な認証方法を採用することです。つまり、電話番号をセキュリティ要素として使うのをやめ、アイデンティティを通信インフラから切り離すことです。
強力な多要素認証は電話番号に依存しません。認証アプリやデバイスに紐づいた認証情報、端末内で保存・検証される生体認証などを使います。最も安全な実装では、SMSへのフォールバックすら許しません。パスキー、ハードウェアセキュリティトークン、FIDO2標準はすでに存在しています。実験的なものではありません。実証済みです。足りないのは導入と、短期的な利便性より長期的なセキュリティを優先する意志です。
もちろん、前向きな取り組みを始めている組織もあります。例えば英国政府は最近、デジタルサービス全体でパスワードの使用を段階的に廃止し、より安全なパスキーへ移行する計画を発表しました。このようなリーダーシップは重要であり、官民問わず広がることが求められます。
企業もまた、リカバリーやサポートのワークフローを再考すべきです。SIMスワップでアカウントが完全に乗っ取られるなら、構造的に何かが壊れています。パスワードリセットや権限昇格、ユーザー認証が、簡単に再割り当てできる携帯番号に依存してはなりません。より堅牢なアイデンティティ回復経路と、連絡先情報が侵害された際の被害範囲を狭めるためのセグメンテーションが必要です。
パスワードとSMSの時代は終わりつつある
SIMスワップ詐欺の増加は、攻撃者が適応している証拠であると同時に、防御側が進歩している証拠でもあります。パスワードだけではもはや不十分であり、変化が求められています。問題は、欠陥のある手法を、同じく傍受されやすい別の手法に置き換えてしまったことです。今必要なのは、さらなる不正監視や啓発キャンペーンではありません。SMSを認証手段として完全に廃止することです。つまり、崩れかけた構造を補強するのではなく、基盤から作り直す必要があるのです。
残念ながら、Marks & Spencerが最後の著名な被害者にはならないでしょう。しかし、侵害が起こるたびに、近代化の必要性はますます高まります。パスワードとSMSの時代は終わりつつあります ― ゆっくりと、苦しく、しかし確実に。
そう、SIMスワップ詐欺は増加しています。それでいいのです。今こそ、攻撃者が電話一本で迂回できないシステムを構築する時です。