SIMスワッピング
定義
SIMスワッピングとは攻撃者が通信キャリアのカスタマーサポートに被害者になりすまし、SIMカードの再発行手続きを行って被害者の電話番号を攻撃者のSIMに移管させる攻撃です。成功すると被害者宛てのSMS(二段階認証コード・パスワードリセット通知)がすべて攻撃者に届くようになります。移管に必要な個人情報(生年月日・住所・アカウント番号など)はOSINTや事前のフィッシングで収集されており、カスタマーサポートの本人確認が不十分な場合に成立します。SNSアカウント・暗号資産取引所・銀行口座の乗っ取りに多用されており、有名人・暗号資産富裕層を狙った高額被害が繰り返し報告されています。対策としてはSMS OTPをTOTPアプリやFIDO2/パスキーに移行すること、通信キャリアのアカウントにPIN/パスフレーズを設定してSIMポーティングに追加認証を要求させることが有効です。
関連用語
同じカテゴリの用語(攻撃手法)
国家支援組織や高度な技術を持つ攻撃グループによる長期・潜伏型の標的型攻撃。数ヶ月〜数年かけて侵入・維持・情報収集を行う。…
認証済みユーザーに悪意のあるサイトを訪問させ、意図しないリクエストをターゲットサイトに送信させる攻撃。CSRFトークンと…
多数のホスト(ボットネット)から同時に大量のトラフィックを送り、標的サービスをダウンさせる攻撃。ボリューム型・プロトコル…
DNSリゾルバのキャッシュに偽の名前解決情報を注入し、正規ドメインへのアクセスを攻撃者が制御するサーバーに誘導する攻撃。…
WebアプリケーションのSQLクエリに悪意のある入力を注入し、DBを不正操作する攻撃。プリペアドステートメントで根本的に…
攻撃者が悪意のあるスクリプトをWebページに埋め込み、他ユーザーのブラウザで実行させる攻撃。反射型・蓄積型・DOMベース…