AT&Tは火曜日、ワイヤレスアカウントロック機能を広く展開し、アカウント乗っ取りやSIMスワッピング攻撃から顧客を守るための対策を強化しました。
この機能は、SIMスワッピングやその他のソーシャルエンジニアリング手法によって悪意のある第三者がユーザーアカウントを侵害し、電話番号を乗っ取る事例が増加していることを受けて導入されました。
今年初めから段階的に展開されていたワイヤレスアカウントロックは、現在、個人および法人の顧客の両方が広く利用可能です。この機能は、すでにSIMスワッピングや類似の攻撃への対策を強化しているT-Mobile、Verizon、Google Fiなどの競合他社の同様のオプションに続くものです。
この機能は、アカウントに紐づいたデバイス上の同社アプリからのみアクセス可能です。登録済みデバイスにアクセスできない場合や紛失した場合、ユーザーはAT&Tのカスタマーサポートを通じて追加の認証手続きを行い、コントロールを回復または復元する必要があります。
ロックは任意のタイミングでオン・オフを切り替えることができます。変更があった場合、アカウントの主メールアドレスおよびすべてのアクティブな番号に通知が送信され、アクセス変更の透明性が確保され、密かに変更されるリスクが低減されます。
AT&Tのプリペイド顧客も、アカウント構造に合わせた同様のブロック機能を持つバリアントのロックによって保護されます。
ワイヤレスアカウントロックが有効化されると、以下の操作が制限されます:
- 請求情報、認可ユーザー、電話番号の変更
- ワイヤレス番号の新しいアカウントへの移行
- アカウントに請求されるデバイスの購入やアップグレード
- デバイス間でのSIMまたはeSIMの交換
- 新しい回線の追加
これらのロック設定を管理できるのは、主契約者および副契約者のみです。複数回線アカウントの一般ユーザーは、アカウントが操作されるリスクのある重要な操作を行うことができません。
法人プランでは、ビジネスアカウントロックにより、管理者がどのアカウント機能をどの回線で制限するかを細かく制御できます。
この追加機能があっても、電話アカウントは依然としてより広範な個人情報盗難の入り口となるため、キャリアレベルでの追加コントロールは重要な防御手段となります。専門家は長年、二要素認証や「パスワードレス」システム(ハードウェアトークン、認証アプリ、パスキーなど)がオンライン安全対策の標準的な推奨事項となっていると指摘しています。
米国の有力な政府関係者のアカウントに影響を与えたSalt Typhoonの侵害を受け、サイバーセキュリティ・インフラストラクチャーセキュリティ庁は、SIMスワッピング対策を含むモバイル通信の保護策について詳細なガイドラインを発表しました。
アカウント機能の詳細については、AT&Tのウェブサイトをご覧ください。
翻訳元: https://cyberscoop.com/att-wireless-account-lock-sim-swapping-protection/