全米のT-Mobile従業員、違法なSIMスワップの見返りに現金の提案を受ける
(tmo.report)- 米国全土のT-Mobile従業員が、顧客回線を攻撃者の保有するSIMへ移す違法なSIMスワップ依頼のSMSを受信
- 依頼メッセージは1件あたり300ドルとTelegramでの連絡を提案し、複数の市外局番の発信番号を使ってブロックを困難にしている
- SMSには従業員の番号を「T-Mo employee directory」から入手したという文言があり、現職者だけでなく数か月前に退職した元従業員も対象に含まれる
- T-Mobileはシステム侵害はなかったと回答したが、違法行為を誘導するメッセージを調査中であり、他の無線通信事業者でも同様の事例が報告されている
- 顧客はSMSベースの2段階認証への依存を減らし、認証アプリの利用やSIM protectionの有効化によってアカウント乗っ取りのリスクを下げる必要がある
従業員に直接届いたSIMスワップの勧誘
- SIMスワップとは、攻撃者が被害者の電話回線を自分のSIMへ移し替え、被害者に送信される2段階認証コードを傍受してオンラインアカウントにアクセスする手口
- 被害者は銀行口座や暗号資産ウォレットから資金を失う可能性がある
- 複数のReddit投稿と別個の情報提供によると、米国全土のT-Mobile従業員がSIMスワップの見返りに現金を提示するSMSを受け取っている
- 勧誘SMSはSIMスワップ1件あたり300ドルを提示し、Telegramで連絡するよう求めている
- 発信番号が複数の市外局番にまたがるさまざまな番号へ変わるため、単純な番号ブロックだけでは防ぎにくい
従業員連絡先の出所と侵害の有無
- SMSには従業員の電話番号を「T-Mo employee directory」から入手したという文言がある
- これが事実であれば、連絡先を含むT-Mobileの従業員ディレクトリに何らかの形でアクセスした可能性がある
- 数か月前に退職した元従業員も対象に含まれており、攻撃者が現在リアルタイムでデータへアクセスしている可能性は低いとみられる
- 従業員の番号の出所はまだ確定していない
- オンラインコメントを見る限り、一部のサードパーティ従業員も影響を受けているようだ
- 現在のT-Mobile corporate従業員もメッセージを受け取ったことが別途確認されている
- 2023年9月のConnectivity Source関連の流出データと同じ出所だと断定するのは難しい
- ただし、その可能性を排除することはできない
- T-MobileのPRは「システム侵害はなかった」と回答
- 違法行為を誘導するために送信されているメッセージの調査を継続している
- 他の無線通信事業者でも同様のメッセージが報告されている
顧客が減らせるリスク
- 犯罪者が依然としてSIMスワップを利益の出る攻撃手段と見ている点は、顧客にとって不安材料として残っている
- 一部の従業員が手っ取り早い現金の提案を受け入れれば、顧客アカウントと資金が直接危険にさらされる可能性がある
- 顧客が取れる対策:
- オンラインサービスの2段階認証をSMSベースのままにしない
- Google AuthenticatorやAuthyのような認証アプリを利用する
- 銀行や暗号資産ウォレットのサービスがSMSしか2段階認証を提供していない場合は、他のサービスへ移ることを検討する
- T-MobileアカウントでSIM protectionを有効化する
1件のコメント
Hacker News のコメント
T-Mobile が従業員に報奨金を 600ドルに上げたふりをして自社で SMS を送り、返信した従業員を解雇できないだろうか?
あるいは従業員回線割引の規約を変更して、会社の利用者に対するセキュリティ脅威を検知するために SMS の内容やメタデータを監視できるようにすることもできそう
SIM スワップの対価を払うと装うことが合法なのかは分からないが、それは二次的な問題で、過去に T-Mobile がこうした件を気にかけていたという証拠はあまり見たことがない
「内部者」が関与する SIM スワップ攻撃自体は新しいものではない。親しい友人の T-Mobile の携帯電話も、2020年3月にこの方法でやられた
今回のニュースの要点は、データ漏えいと SIM スワップが結びついた点だ。犯罪者たちは最近の T-Mobile 漏えいデータに含まれていた従業員の電話番号を使い、多数の従業員へ一斉に SMS で接触し、1件あたり300ドルを提示している
以前は個人的なつながりで内部者を作るか、自ら応募して採用されるやり方だったが、漏えいデータがあることで自動化し、規模を拡大できるようになった
つまり「昔ながらの方法」は内部者を育てるだけでなく、内部者が依頼者を信頼できるようにするプロセスまで含んでいた
ここでの解決策は何だろう? 実店舗の従業員が顧客の電話番号を新しい SIM に移す作業をできないようにするのは現実的だろうか? 顧客が携帯電話を紛失した、または盗まれたと言ったらどうすべきか?
理想的には、顧客が実際に現場にいて身分証が確認されたという検証が必要だろうが、米国には普遍的に使われる身分証のようなものがないので、どうすればよいのか分からない。また、身分証なしでも電話番号を取得できるべきだと思うが、その場合は検証そのものが行き詰まる
問題は、携帯電話が事実上、私たちのデジタル生活における 信頼のルートになってしまったことだ。パスキーが OS に組み込まれるのは、この問題を通信事業者から押し出すので良いことだが、根本的な問題は残る。最初に信頼を確立するのは難しい
「顧客が実際に現場にいて身分証が確認された」というとき、現場とはどこなのか? 私の MVNO には店舗がない。店舗があったとしても、なぜそこへ行かなければならないのか? 銀行の支店にも、できれば行きたくない
SMS は二要素認証には使えるかもしれないが、常に第2要素であるべきだ。「パスワードを忘れた」→ SMS コード → 新しいパスワード、は実質的に1要素認証だ。SMS を唯一の要素として使うのは本当に悪い
そうすれば、腐敗した従業員が SIM 変更を実行するには、自分が持っていない追加情報が必要になる
SIM がモバイルネットワークから48時間切断されている場合にのみ変更可能にし、切断されていないなら既存の SIM に電話や SMS を送り、本当に変更を望んでいるか確認すればよい
暗号資産業界で働いているが、SIM スワップは常に目にする。主に有名人の Twitter アカウント乗っ取りに使われ、その後フィッシングリンクを投稿してフォロワーのコインを盗む。この分野では T-Mobile が圧倒的によく名前に挙がり、被害者の多くが T-Mobile を使っていたと言うので、かなり前から続いていることだ
Twitter のセキュリティにおけるもう一つの大きな問題は、SMS ではない二要素認証を使っていてもアカウントを奪われ得る点だ。アカウントに電話番号があると復旧手段として使われ、二要素認証を完全に迂回する。このセキュリティ欠陥は何年も前からあるのに、まだ修正されていない
電話番号をまったく提供しなくてよい、または少なくとも復旧手段として使わないようにできるサイトはごくわずかだ
単純な時間ロックだけでも大きな助けになる。たとえば、SMS のワンタイムパスワードに基づく「二」要素認証の復旧は24時間後にのみ可能にし、同時に「あなたではないかもしれない誰かがアカウントを復旧しようとしている」という警告を大量に送り、正当なアカウント所有者がそれを止める方法を提供する、といった形だ
SMS ではない二要素認証を使っている場合にも許されるならさらに悪く、代替の二要素認証を使う目的を100%無力化する
SMSワンタイムパスワードがこれほど頻繁に使われているのは信じがたい。公然と知られている事実だが、既存の攻撃経路をより悪い攻撃経路に置き換えるだけだ。
パスワードを破ったり、暗号化されたデータベースに侵入したりするのは、SIMスワップを成功させるより10倍は難しい。
時間制限のある2段階コードはSIMスワップや標的型フィッシングで破られ得るが、広範なスパムベースのフィッシングキャンペーンよりは一般的ではない。
だからといってSMSによる2段階認証が好きというわけではなく、本当に嫌いだ。
あとはWebAuthnを追加してくれればいい。とはいえ、ブラウザ統合のパスワードマネージャーと併用するTOTPはフィッシングにかなり強い。自動入力が出なければ疑えるからだ。
SIMスワップはごく少数の人にしか起きないので、関係者にとっては労力に見合わない。私も嫌いだが、現実はそうだ。
今日、ユーザー名とパスワードだけに基づくものはすべてパスキーに置き換えられるべきだ。パスキーが解決できない問題は、2段階認証とアカウント復旧だ。
パスワード + SMSワンタイムパスワードは、SMS方式がどれほどひどくても、それ自体としてはより良い。
FCCがSIMスワップを防ぐための新規則を施行するようで、2024年7月8日から発効するという。ただしプレスリリースだけを見る限り、通信事業者の従業員が悪意ある行為者である場合にも顧客を保護できるのかははっきりしない。
https://www.fcc.gov/consumer-governmental-affairs/fcc-announ...
https://docs.fcc.gov/public/attachments/DOC-398483A1.pdf
冗談ではなく、変更時にDNAサンプルを要求する携帯電話会社を作れば市場があると思う。
DNAは血液、唾液、ランダムに選んだ爪など複数の出所から同時に採取し、提供者がDNA文字列そのものを保存しないようハッシュ化できる。DNA自体はUUIDのようなものではないので、ある程度の革新は必要だろうが、可能だと思う。VIPはこのサービスにお金を払うだろうし、ハッキング被害に対する限定的な保険も提供できる。
付け加えると、「Forensic Files」のあるエピソードで、性的暴行容疑のDNA検査を避けるために他人の血液サンプルを自分の体に注入した容疑者がいた。なのでDNA方式も攻撃可能だという点は認める。だから複数のランダムなサンプルが必要だ。
多要素認証には本当にもっと良い標準が必要だ。おそらく多要素認証の法的定義を設け、SMSはメールのようなものと同等の2段階認証に分類すべきだ。
本当の多要素認証は、Yubikeyや他のハードウェア証明書ベースのデバイスに限定すべきだと思う。また、方式ごとにトークンを1つしかサポートしないなら、多要素認証だと宣伝できないようにすべきだ。
現実的にはiPhone Keychainあたりが限界に近いように見え、それもある程度はハードウェアセキュリティに依存している。
https://passkeys.dev/
https://passkeys.directory/
これは単にSIMやT-Mobileだけの問題ではない。
ほとんどのカスタマーサポート担当者は非常に低い収入で働いており、特に他国では、西側基準では少額のお金でも特定の対応をしてくれる人を見つけるのは難しくない。カスタマーサポート担当者は強力な権限と機密情報へのアクセス権を持つことが多く、アクセス制御はずさんだ。
SMSと多要素認証の問題を解決しても、攻撃者は次に弱い場所を攻撃するだろう。
私の知る限り、SMSによる2段階認証はあらゆる方式の中で最も簡単に破られる。少なくともメールなら、まずパスワードが必要で、場合によっては別の2段階認証も通過しなければならない。
簡単そうなアイデアを一つ挙げると、アカウントの回線は、現在のSIMが基地局ネットワーク上でオフラインのときに限って新しいSIMへ移せるようにする任意オプションを用意することだ。
カスタマーサポートがこの制限を迂回できないようにもできる。
誰かが携帯電話を盗んだら、アクティベーションロックを避けるためにできるだけ早く機内モードにしようとするだろう。海に落としたり崖下に落としたりしたなら、長く動作しない可能性が高い。紛失したのに電源が入り続けていて見つけられない状況が心配なら、このオプションを有効にしなければよい。
応答がなければ48時間後に移行され、「はい」と答えればすぐ移行される。「いいえ」と答えた場合は、移行を要求した人がいくつかの質問に答える必要がある。
例えば携帯電話をなくして、道端のどこかにあるかもしれず応答できないなら、確認リクエストに応答がない場合、8時間後くらいに回線が移行されるという具合だ。