免責事項：この記事は機械翻訳によって日本語に仮翻訳されています。改訂版は後日公開される予定です。

SIMスワップ仮想通貨（暗号資産）攻撃：この仮想通貨（暗号資産）ハッキングを防げるか？

中級者向け

2023年10月11日

9分で読めます

AIサマリー

わずか30秒で記事の内容を把握し、市場の反応を測ることができます。

資金をデジタルで保管することは便利ですが、詐欺師やハッカーに資金を脆弱にする可能性があります。残念ながら、ハッカーは仮想通貨を盗むための新しい方法を常に開発しています。SIMスワップと呼ばれる新しいタイプの攻撃は、Vitalik Buterinのような仮想通貨の専門家をだますことさえできました。SIMスワップ攻撃とは何ですか？また、この詐欺行為から暗号資産を保護するにはどうすればよいでしょうか？ SIMスワップのしくみについては、引き続きお読みください。

主なポイント：

SIMスワップ暗号資産攻撃は、詐欺師が携帯電話のSIMカード情報をコピーし、ハッカーが2段階認証をバイパスして暗号資産アカウントにアクセスできるようにするハッキングです。
ハッカーがSIMスワップ暗号資産攻撃でアカウントにアクセスすると、暗号資産やその他の資産を簡単に盗むことができます。
最近の注目すべきSIMスワップ暗号資産事件には、Vitalik Buterin X/Twitter SIMスワップ攻撃やfriend.tech SIMスワップの論争などがあります。

SIMスワップ暗号資産攻撃とは？

SIMスワップ暗号資産攻撃は、詐欺師が携帯電話のSIMカード情報をコピーするハッキングです。これにより、ハッカーは2段階認証をバイパスし、暗号資産アカウントにアクセスできるようになります。ハッカーがアカウントにアクセスすると、仮想通貨やその他の資産を簡単に盗むことができます。

SIMスワップ暗号資産攻撃のしくみ

SIMスワップ攻撃は、基本的に携帯電話番号をクローンするハッキングの一種です。この攻撃の最初のステップは、ハッカーが加入者IDモジュール（SIM）カードを携帯電話から携帯電話に切り替えることです。携帯電話を盗んで手動でカードを取り外すか、ソーシャルエンジニアリング手法を用いて携帯電話会社をだましてSIMをリモート転送させるか、

ハッカーがお客様のSIMカード情報を携帯電話に持ち込むと、基本的にお客様の携帯電話と同じように機能します。すべての通話とテキストは相手の携帯電話に転送され、相手が相手の携帯電話から電話をかけると、相手の発信者IDに番号が表示されます。被害者の電話番号を持っていると、SIMスワップの攻撃者は、2段階認証などの日常的なセキュリティメカニズムを簡単に回避できます。被害者の電話番号を使用して、ワンタイムパスワードテキストを受け取り、被害者のオンラインアカウントにログインできます。

セキュリティ対策を講じているサイトによっては、認証済みの電話番号でアカウントを自動的にリセットできる場合もあります。ハッカーは、サイトのカスタマーサービスセンターに電話をかけて、被害者のアカウントのパスワードをリセットできる可能性があります。他の検証情報を提供する必要もありません。

SIMスワップ攻撃は暗号資産トレーダーや投資家にどのような影響を与えますか？

SIMスワップ攻撃の結果、ハッカーはさまざまな仮想通貨ウォレットに簡単に侵入できます。その後、トークンを自分のアカウントに直送し、すべてのお金を盗むことができます。暗号資産ウォレットが保管されているクレジットカードや銀行口座を使用して暗号資産を購入する場合、ハッカーはその情報を使用して、あなたからより多くの資金を盗んだり、自分自身のためにより多くの暗号資産を購入したりすることもできます。SIMスワップの概念は、インターネット接続機能を持つWeb3製品を大量に利用する人にとって特にリスクが高くなります。コールドウォレットはある程度安全ですが、お客様の電話番号をアカウントに紐づけるサービスは、SIMスワップに脆弱である可能性があります。

SIMスワップは、仮想通貨トレーダーに大きな危険をもたらします。数え切れないほどのデータ侵害やフィッシング攻撃を受けて、電話による2段階認証がセキュリティのゴールドスタンダードとなりました。多くの人は、2段階認証（2FA）を設定するとアカウントが完全に安全であると想定しています。残念ながら、2段階認証は簡単に実行できます。SIMスワップ攻撃では、トレーダーや投資家の個人アカウントがハッキングされる可能性があります。

SIMスワップ暗号資産攻撃の兆候を認識する方法

SIMスワップ暗号資産攻撃を認識できれば、事態が悪化する前に問題に対処するための措置を講じることができます。SIMスワップの最も重要な兆候は、携帯電話が電話をかけたりメッセージを送信したりできないことです。ハッカーの携帯電話はお客様のSIMカードを使用するため、お客様の携帯電話のカードは機能しなくなります。Wi-Fiに接続することはできますが、テキストや通話などのデータは使用できません。

多くのハッカーは、SIMスワップを発見するためのこのトリックを認識しているため、ハッカーは、始める前に携帯電話をオフにするようあなたを騙そうとします。SIMスワップ暗号資産攻撃を扱う多くの人々は、スマホがスワップ直前に絶え間ない電話やメッセージで爆撃されたと報告しています。また、ハッカーがフィッシングを利用してデータを収集し、アカウントへのアクセスを容易にしようとしているため、SIMスワップの前に疑わしいテキストやメールが送られる可能性もあります。通常、モバイルサービスプロバイダーはお客様にSIMスワップについて通知します。そのため、定期的にメールをチェックし、今後のSIMカードのアクティベーションについて通知を受けていることを確認してください。

SIMスワップ暗号資産攻撃の例

SIMスワップ暗号資産攻撃は、悲惨な結果を招く可能性があります。最近ニュースで取り上げられた注目のSIMスワップ攻撃の例をいくつかご紹介します。

Vitalik Buterin X/Twitter SIMスワップ攻撃

ある衝撃的なケースでは、ハッカーがSIMスワップ攻撃とフィッシング攻撃を組み合わせて、69万1,000ドル相当のステルオーバーを狙いました。このハッキングはイーサリアムの創設者であるVitalik ButerinのX/Twitterアカウントを狙ったSIMスワップから始まりました。彼の携帯電話はアカウントにリンクされているため、ハッカーはパスワードを使用せずにアクセスできました。その後、ハッカーはButerinのアカウントを使用してフィッシングリンクをツイートし、他のソーシャルメディアアカウントがそれをクリックすると、暗号資産とNFTが盗まれました。

friend.tech SIMスワップ攻撃

friend.techのソーシャルメディアアカウントは、別の大規模なSIMスワップ詐欺の標的となりました。この攻撃では、ハッカーがSIMスワップを使用して24時間以内に約38万5,000ドル相当のイーサリアムトークンを盗みました。friend.techの著名な利用者の多くは、この問題をオンラインで投稿することで、SIMスワップの危険性について認識を高めました。

PlugwalkJoe SIMスワップ攻撃

PlugwalkJoeと呼ばれる英国のハッカーは、SIMスワップを通じて約80万ドル相当の仮想通貨を盗むことができました。ハッカーは仮想通貨企業の上級幹部を標的にし、SIMスワップを使用して同社のオンラインアカウントにアクセスすると、7 BTC、407 ETH、その他多くのコインを自分のプライベートウォレットに振り替えました。

SIMスワップ暗号資産攻撃を防ぐには？

SIMスワップ暗号資産攻撃は避けられないのでしょうか？電話会社や暗号資産会社の設定方法を考えると、それらを防ぐのは非常に困難です。多くのサイトの現在のセキュリティ対策では、SIMスワッパーは無料でアカウントを管理できます。さらに、モバイル通信会社はSIMスワップの防止にあまり取り組んでいません。現在、加入者IDモジュール（SIM）を別の携帯電話に移動することに同意する前に、モバイルサービスプロバイダーが顧客を認証することを義務付ける規制はありません。

したがって、SIMスワップ攻撃の防止は、ほぼ完全に個々の利用者に依存しています。すべてのサイトが暗号資産アカウントを保護するために最善を尽くしていると想定することはできません。その代わりに、時間をかけて自分で予防策を設定する必要があります。セキュリティポリシーを調査し、安全ガイドラインを実践することで、SIMスワップ詐欺に遭遇するリスクを減らすことができます。

SIMスワップ暗号資産攻撃を防ぐ方法

ほとんどのサイトやモバイル通信事業者がSIMスワップの防止措置を講じていない場合でも、セキュリティを保護するためにできることがいくつかあります。以下のヒントに従って、SIMスワップ攻撃を防止してください。

電話番号は絶対に他人と共有しないでください。SIMスワップを実行するには、ハッカーがどの電話番号をコピーする必要があるかを知る必要があります。そのため、オンラインで番号を投稿したり、ランダムな人々と共有したりしないことが重要です。
オンラインで本名を使用しない：過去のSIMスワップでは、ハッカーが被害者の正式名を持っている場合、被害者の電話番号を入手する方がはるかに簡単であることがわかっています。オンラインで仮名を使用することにより、ハッカーがSIMスワップを実行するために必要な情報を入手することは困難です。
特定のアカウントから携帯電話のリンクを解除します。X/Twitterなどの一部の企業は、適切な電話番号を持つ人物がアカウントにアクセスすることを許可します。暗号資産または金融情報を会社に保管する前に、パスワードリセットポリシーを確認し、アカウントから携帯電話のリンクを解除する必要があるかどうかを確認してください。
仮想通貨をコールドウォレットに保管します。SIMスワップ攻撃を防ぐ最も愚かな方法の1つは、インターネット接続のないウォレットを選択することです。コールドウォレットの多くは、SIMスワッパがアカウントにアクセスするために必要なパスワード回復オプションを持っていません。
インターネットの安全に関する基本的なガイドラインに従ってください。多くのSIMスワップカード攻撃では、パスワードや誕生日などの他の個人情報も必要です。すべての基本的な暗号資産安全ガイドラインに従うことで、この情報を保護することができます。
携帯電話以外の2段階認証方式を使用します。すべての2段階認証サービスが、お客様の本人確認方法として電話番号を使用しているわけではありません。テキストや電話をせずに安全な認証を提供するアプリを入手することを検討してください。

SIMスワップ暗号資産攻撃で被害に遭った場合、どうすればいいですか？

SIMスワッパがアカウントにアクセスする場合、迅速に行動することが重要です。まず、携帯電話会社に連絡し、問題を通知してください。お客様の番号を一時的に無効にするか、SIMに返却するよう依頼します。苦情を申し立て、後で問題を上申する必要がある場合に備えて、SIMのセキュリティ保護ができなかったことを記録してください。

次に、暗号資産アカウントに移動します。モバイル通信事業者がSIMを復元するには、少し時間がかかる場合があります。そのため、すべての暗号資産アカウントと銀行口座から電話番号を削除し、電話による2段階認証を無効にしてください。パスワードを変更し、サイトのカスタマーサービスチームに問い合わせて、アカウントをフリーズしたり、他のセキュリティメッセージを追加したりできるかどうかを尋ねることで、セキュリティをさらに強化できます。

SIMスワップ攻撃を停止したら、資金を回収するステップを取りましょう。現地の法執行機関に報告書を提出してハッカーの発見を手伝い、ご利用の銀行口座や暗号資産サイトのカスタマーサービスに連絡してください。サイトによっては、取引を元に戻したり、詐欺被害者の個人アカウントに資金を復元したりできる場合があります。サイトから資金を取り戻せない場合やハッカーから回収できない場合は、法律顧問の依頼や訴訟を提起して、損失した資金の補償を受けることを検討してください。