米連邦通信委員会(FCC: Federal Communications Commission)は11月15日(米国時間)、「FCC Adopts Rules to Protect Consumers' Cell Phone Accounts|Federal Communications Commission」において、SIMスワッピング攻撃およびポートアウト詐欺から消費者を保護するために規則を強化すると発表した。これにより、消費者の携帯電話を直接操作することなく密かにSIMカードを交換する「SIMスワッピング攻撃」、電話番号を別の通信事業者に移植する「ポートアウト詐欺」から消費者の保護を目指す。

  • FCC Adopts Rules to Protect Consumers' Cell Phone Accounts|Federal Communications Commission

    FCC Adopts Rules to Protect Consumers' Cell Phone Accounts|Federal Communications Commission

SIMスワッピング攻撃やポートアウト詐欺は、金融機関などの多要素認証(MFA: Multi-Factor Authentication)を突破する目的で行われる。多要素認証でショートメッセージサービス(SMS: Short Message Service)を利用している顧客は多く、電話番号を乗っ取ることでショートメッセージを窃取し、多要素認証を突破する。日本国内においてもSIMの紛失や番号ポータビリティ制度(MNP)を悪用した手口が指摘されており、すでに被害も発生している。

今回、FCCが採択した新しい規則により、米国の携帯電話事業者は電話番号の変更手続きの前に顧客を安全な方法で認証することが義務付けられる。具体的には変更手続きが要求された際に、必ず顧客に通知して確認する必要があるとしている。

企業ネットワークを狙うサイバー攻撃においても、SIMスワッピング攻撃を使用して侵入を試みる事案が指摘されている(参考:「U.S. Cybersecurity Agencies Warn of Scattered Spider's Gen Z Cybercrime Ecosystem」)。仮想プライベートネットワーク(VPN: Virtual Private Network)などの企業ネットワークの多要素認証において、SMSを許可している場合はこうした攻撃に警戒する必要がある。

近年は、多要素認証におけるSMSの利用は推奨されない傾向にある。これはSIMスワッピング攻撃やポートアウト詐欺による被害を受けてのことで、専用の認証アプリやワンタイムパスワード用のトークンデバイスの利用が推奨されている。多要素認証を提供する企業や組織はSMS以外の方式をサポートし、切り替えを促して安全を確保することが望まれている。