最近の会員制WEBサービスでは、アカウントの乗っ取りを防ぐために2段階認証というものを取り入れつつあります。
例えば、ユーザーが設定したパスワード + 指紋認証 等、複数の要素を取り入れて本人確認を行います。
今回はその中のSMS認証方式について注意喚起です。
SMS認証について
登録したスマホの電話番号にSMSが送信されるので、そこに書かれているワンタイムパスコードをログイン時に入力する、といったSMS認証方式があるのですが、これには落とし穴があります!
「最悪パスワードが流出しても
SMSが届くのは自分のスマホだからワンタイムパスワードまで漏れないでしょ」
↑の様に考えていました(笑)
本題:SIMスワップ詐欺とは
確かにSMSは自分のスマホの電話番号宛てに届きます。
そう、電話番号宛てに届くのです…
SIMスワップ詐欺とは
他者が自分と同じ電話番号を持ったSIMカードを作成することでSMSを横取りし、SMS認証を突破する詐欺手法です
その手法
まず詐欺師は事前に対象となる人物の情報をSNSやマルウェアを用いて収集します。
その次に、対象者の契約キャリアに連絡し↓
現在使用しているSIMが(故障、盗難などで)使えなくなった
新しいSIMに移行したい
事前に収集した情報を元に、本人の振りをして電話番号の移行手続きをします。
キャリアを騙すことができると、詐欺師のSIMカードに対象者の電話番号が付与されてしまい、対象者はキャリア回線や電話が利用できなくなってしまいます。
キャリア回線が使えない事が分かったタイミングでSIMスワップ詐欺にあったことに気づくんですが、
いつも自宅のWiFiとかを使用しているとなかなか気づけないです(汗)
対策方法
この詐欺が成功するかどうかは、詐欺師が契約キャリアを騙せるかどうかにかかっているので
という確実な防御策は無いのです…
地道なところだと、詐欺師に情報を渡さない為に
- SNSで個人情報を書かない
- 端末(PCやスマホ)は常にアップデートをかける
- ウイルスセキュリティソフトを導入する
- 怪しいURL、ファイル、WEBサイトは開かない
というネットリテラシーの基本を守りましょう!
また、より確実に防ぐために
最後に
私もそうだったのですが、SMSによるワンタイムパスワード認証を過信しないほうがいいですね~
常日頃からネットリテラシー高めの行動を心掛けましょう!
利用できるなら、Google Authenticatorのようなワンタイムパスワードを作り出す専用のアプリを使うのも有効です。
TwitterやInstagram等の最近のSNSは、大体がSMS認証を推奨しているため利用している人は多いのではないでしょうか?
今一度自分のアカウント認証方法を見直してみましょう!
追記
「Google Authenticator」にも脆弱性が確認されています。
簡単な手順で対策ができるので、これから利用する方や既に利用している方は下記を参照し設定しておきましょう。
