全米のT-Mobile従業員、不正なSIMスワップの見返りに現金を提示される

• T-Mobileの従業員が、不正にSIMをスワップする見返りとして現金を受け取る提案を受けている

  • 悪意ある行為者がT-Mobile従業員に接触し、SIMスワップ1件あたり300ドルを提示している
  • この提案では、さまざまな市外局番からTelegramで連絡するよう求めており、T-Mobileの従業員ディレクトリから番号を入手したと主張している
  • Redditの複数の投稿とThe Mobile Reportに情報提供した人々によると、全米のT-Mobile従業員が影響を受けている

• 従業員の個人情報流出経路への疑問

  • 悪意ある行為者がどのように従業員の電話番号を入手したのかが最大の問題である
  • 影響を受けた従業員の中には、数か月前から会社で働いていない元従業員も含まれており、数か月前の情報である可能性が高い
  • 企業の従業員も含まれているように見えることから、Connectivity Sourceの流出事件とは別のデータソースとみられる
  • T-Mobileは、システム侵害は発生しておらず、不正行為を教唆するメッセージについて引き続き調査中だと回答している

• 顧客への影響と予防策

  • 犯罪者が依然としてSIMスワップを金儲けの手段と見なしていることは、企業の予防努力が不十分であることを意味する
  • 多くの従業員に提案が届いているため、一部が受け入れる可能性があり、顧客アカウントや資金が危険にさらされるおそれがある
  • 顧客は、二要素認証をSMSではなくアプリベースにし、T-MobileアカウントでSIM保護機能を有効化するなどの予防策を取ることができる
  • 銀行や暗号資産ウォレットがSMSしかサポートしていないなら、サービスの切り替えを検討すべきである

• 最近のデータ流出で悪名高い通信事業者における新たな流出でないことを願う

  • 最良のシナリオは9月の流出事件の影響であることだが、新たな流出である可能性もある
  • 新しい情報が出次第、The Mobile Reportで継続的に更新する予定である

GN⁺の見解

• SIMスワップは新しい問題ではないが、通信事業者の従業員を標的にした組織的な試みは異例である。内部脅威に対する通信事業者のセキュリティ対策強化が必要に見える
• 通信大手3社の顧客の大半が二要素認証としてSMSを利用しており、潜在的な被害規模は大きい。顧客の認識向上とともに技術的な補完策の整備が急務である
• T-Mobileは最近、顧客情報流出の多発で信頼性が低下している状態にあり、今回の事態による打撃は大きいとみられる。徹底した事実関係の調査と再発防止策の策定が必要である
• 従業員情報の流出経路については、内部関係者の犯行の可能性を排除できない。特に退職した元従業員の情報まで含まれている点を考えると、不審な部分がある
• 通信事業者の枠を超えて、SIMスワップを法的に規制し、処罰水準を引き上げる必要がある。被害規模に比べて処罰が軽く、犯罪の動機になっている