SIMカード交換攻撃(SIM Swap Attack)は、携帯電話の認証セキュリティを専門に狙った高度な攻撃手段です。攻撃者はソーシャルエンジニアリングの手法で通信事業者を騙し、あなたの電話番号を自分が管理するSIMカードに移転させ、あなたの電話番号に送信されるすべてのSMS認証コードを受信します。この種の攻撃は世界中で大量の暗号資産盗難事件を引き起こしています。本記事では、この攻撃の仕組みを詳しく解説し、完全な防御方案を提供します。

SIMカード交換攻撃とは

攻撃の仕組み

SIMカード交換攻撃の核心は、通信事業者にあなたの電話番号をあなたのSIMカードから攻撃者が持つSIMカードに移転させることです。移転が成功すると:

  1. あなたの携帯電話は電波を失います(番号はもうあなたのSIMカードにないため)。
  2. 攻撃者の携帯電話があなたの番号に送信されるすべてのSMSと通話を受信できます。
  3. 攻撃者は受信したSMS認証コードを使って:
    • あなたのBinanceパスワードをリセットする
    • SMS認証であなたのアカウントにログインする
    • 出金操作を確認する
    • アカウントのセキュリティ設定を変更する

攻撃フロー

典型的なSIMカード交換攻撃は通常、以下のステップを含みます。

情報収集段階: 攻撃者はまずあなたの個人情報、氏名、電話番号、身分証番号、住所などを収集します。これらの情報は以下から入手される可能性があります。

  • ソーシャルメディア上の公開情報
  • データ漏洩事件の個人データ
  • ソーシャルエンジニアリング(カスタマーサービスを装った情報収集など)
  • ダークウェブで購入した個人情報

攻撃実行段階: 攻撃者は収集した個人情報を使って、以下の方法で通信事業者を騙します。

  • あなた本人になりすましてショップで再発行手続きをする(元のカードを紛失したと主張)
  • あなたになりすまして通信事業者のカスタマーサービスに電話し、セキュリティの質問に答えて「身元」を確認させる
  • 一部の場合には、通信事業者の内部スタッフを買収して正規の手続きを回避する

悪用段階: SIMカードの移転が成功した後、攻撃者は迅速に:

  • あなたの電話番号で各種プラットフォームにログインする
  • パスワードをリセットする
  • SMS認証コードで各種操作を完了する
  • あなたが気づく前に暗号資産を転送する

実際の事例

世界中でSIMカード交換攻撃による大額の暗号資産盗難事件が複数発生しています。

  • 米国のある投資家がSIM Swapにより2,400万ドル以上相当の暗号資産を失いました
  • 複数の暗号資産業界の著名人がSIM Swapによってソーシャルメディアアカウントを乗っ取られました
  • SMS 2FAを有効にしていた被害者もいますが、SIM Swapにより保護が無効化されました

Binance専用リンクから登録して、セキュリティ保護の知識をさらに学びましょう。

中国本土ユーザーのSIM Swapリスク

中国の通信事業者のセキュリティ対策

一部の国と比べて、中国の通信事業者はSIMカード管理において一定のセキュリティ上の優位性があります。

  1. 実名制の要件:すべての電話番号は実名認証が必要であり、SIMカードの再発行には通常、本人が身分証を持参してショップを訪れる必要があります。
  2. 顔認証:一部の通信事業者はSIMカード再発行時に顔認証を要求します。
  3. SMS通知:SIMカード関連の操作は通常、SMS通知が届きます。

しかしリスクはゼロではない

これらの保護措置があっても、中国本土のユーザーはSIM Swapリスクに直面しています。

  1. 内部スタッフのリスク:通信事業者の従業員が買収され、通常の手続きを回避する可能性があります。
  2. 偽造身分証:偽造された身分証を使って再発行手続きをする可能性があります。
  3. 代理店の抜け穴:一部の小規模代理店の審査は公式ショップほど厳格でない場合があります。
  4. オンライン操作の抜け穴:通信事業者のオンラインサービスチャンネルにセキュリティ上の脆弱性がある可能性があります。
  5. eSIM技術:eSIMの普及に伴い、リモートSIM移転がより容易になり、攻撃面も広がっています。

SIMカード交換攻撃の総合的な防御

中核的な防御戦略

戦略1:SMS認証を主要な2FAとして依存しない

これが最も根本的な防御措置です。SIMカードが交換されても、Binanceアカウントの主要な2FAが主にGoogle Authenticatorまたはハードウェアセキュリティキーを使用していれば、攻撃者はアカウントを突破できません。

推奨する認証方法の優先順位:

  1. ハードウェアセキュリティキー(YubiKeyなど)- 最も安全
  2. Google Authenticator - 推奨
  3. パスキー - 比較的新しいが安全
  4. SMS認証 - 補助的な手段のみ

戦略2:個人情報を保護する

攻撃者があなたの個人情報を収集するチャンネルを減らします。

  • ソーシャルメディアで電話番号を公開しない
  • ソーシャルメディアで身分証情報や写真を公開しない
  • 個人情報を含む文書(宅配の伝票など)を慎重に処理する
  • 信頼できないウェブサイトに電話番号を入力しない

戦略3:通信事業者のアカウントのセキュリティを強化する

携帯電話の通信事業者に連絡して、以下の措置を取ります。

  • SIMカード操作の追加確認パスワードを設定する(一部の通信事業者で対応)
  • アカウントにメモを追加して、SIMカードの操作は必ず本人が指定のショップで行うよう要請する
  • 携帯電話番号のオンライン自助手続き機能を無効にする(あまり使用しない場合)
  • 定期的に電話番号の有効サービスを確認し、不要な付加価値サービスを削除する

技術的な保護措置

Binance側

  1. Google Authenticatorを主要な2FA方式として設定する。
  2. 利用可能なすべてのセキュリティ機能を有効にする(出金ホワイトリスト、アンチフィッシングコードなど)。
  3. セキュリティ設定で認証方式の優先度を選択できる場合は、Google Authenticatorを最高優先度に設定する。

スマートフォン側

  1. SIMカードにPINコードを設定する。SIMカードのPINコードは、携帯電話を再起動するたびまたはSIMカードを再挿入するたびに入力が必要です。攻撃者があなたのSIMカードを手に入れても、PINコードを知らなければ使用できません。
  2. 携帯電話の「SIMカードロック」機能を有効にする。

SIMカードPINコードの設定方法

  • iOS:設定 → モバイル通信 → SIM PIN → 有効にしてPINコードを設定
  • Android:設定 → セキュリティ → その他のセキュリティ設定 → SIMカードロック → SIMカードをロック

デフォルトのPINコードは通常1234または0000です。初回設定時はデフォルトのPINコードを入力してから、自分のPINコードを設定します。注意:PINコードを3回連続で誤入力するとSIMカードがロックされ、PUKコードでアンロックする必要があります。

BinanceアプリBinanceを使用して、より安全な認証体験を:AndroidAPKダウンロード

監視と早期警戒

電波消失の通知を設定する: 携帯電話が突然電波を失った場合(通常は電波がある場所で)、これはSIMカードが交換されたサインかもしれません。単純にネットワーク障害と思わず、直ちに確認してください。

  1. 自分の携帯電話番号に電話をかけて、誰かが出るか確認する
  2. Wi-Fiを使ってメールとBinanceアカウントを確認する
  3. 通信事業者に連絡してSIMカードの状態を確認する

マルチチャンネル通知を設定する: BinanceのセキュリティBinance通知が複数のチャンネル(メール、アプリのプッシュ通知)で届くように確認し、SMSのみに依存しないようにします。SIMカードが交換されても、他のチャンネルでセキュリティアラートを受け取ることができます。

SIMカードが交換された後の緊急対処

SIMカードが交換されたことを確認またはほぼ確信した場合:

直ちに行動する

  1. 通信事業者に連絡する:直ちに通信事業者のカスタマーサービスホットライン(他人の携帯電話を使用)に電話して、SIMカードが不法に移転されたことを報告し、番号の即時凍結を要請します。

    • 中国移動:10086
    • 中国聯通:10010
    • 中国電信:10000

  2. Binanceアカウントを凍結する:BinanceアプリBinance(Wi-Fiを使用)またはウェブ版でアカウントを凍結します。アプリにログインできない場合は、Binanceの公式カスタマーサービスのメールアドレスにメールを送ります。

  3. 登録メールのパスワードを変更する:Binanceへの登録に使用したメールのパスワードを直ちに変更します。

  4. アカウントの状態を確認する:他のデバイスと方法(Wi-Fi+コンピューターなど)でBinanceアカウントに異常な操作がないか確認します。

その後の処理

  1. 通信事業者のショップに行ってSIMカードを再発行し、電話番号を回復する。
  2. 電話番号が回復したら、関連するすべてのアカウントのセキュリティ状態を全面的に確認する。
  3. その電話番号を認証手段として使用しているすべてのアカウントのパスワードを変更する。
  4. 警察署に届け出る。
  5. Binanceでアカウントのセキュリティを確認した後、凍結解除を申請する。

携帯電話認証の代替セキュリティ方案

仮想通信事業者番号

仮想通信事業者番号(Alibaba小号、Google Voiceなど)を暗号資産アカウントの認証番号として使用することで、一定程度SIM Swapのリスクを低減できます。仮想番号の再発行手続きが物理SIMカードとは異なるためです。

ただし、この方法にも限界があります。

  • 仮想番号のアカウントセキュリティは紐づけられたメインアカウントに依存する
  • 一部のプラットフォームは仮想通信事業者番号をサポートしていない場合がある

専用セキュリティスマートフォン

暗号資産関連の操作に専用のスマートフォンを準備します。

  • そのスマートフォンは暗号資産関連の認証操作のみに使用する
  • ソーシャルメディアや不必要なアプリをインストールしない
  • 電話番号を外部に公開しない
  • 普段は電源を切って安全な場所に保管できる

よくある質問

Q1:中国本土のSIM Swapリスクは高いですか?

A:米国などの国と比べて、中国は実名制と顔認証の要件があるため、SIM Swapはより困難です。しかしリスクはゼロではなく、特に内部スタッフのリスクや偽造証明書の可能性を考慮すると、大額の暗号資産を保有するユーザーは依然として真剣に対策を取る価値があります。

Q2:Google Authenticatorを有効にしていれば、SIM Swapによってアカウントが突破されますか?

A:Google Authenticatorが正常に動作している場合、単純なSIM SwapではGoogle Authenticatorの保護を突破できません。これが、SMS認証よりもGoogle Authenticatorを主要な2FA方式として強く推奨する理由です。

Q3:SIMカードにPINコードを設定するとどんなリスクがありますか?

A:主なリスクはPINコードを忘れることです。3回連続で誤入力するとSIMカードがロックされます。この場合、PUKコードでアンロックする必要があります。PUKコードは通信事業者から取得できますが、PUKコードを10回誤入力するとSIMカードが永久にロックされます。PINコードとPUKコードを安全な場所に記録しておくことをお勧めします。

Q4:eSIMは物理SIMカードより安全ですか?

A:eSIMは一部の面ではより安全(SIMカードを物理的に盗めない)ですが、他の面ではリモート攻撃に対してより脆弱になる可能性があります(攻撃者が通信事業者のアカウントを通じてeSIM設定をリモートで転送できる可能性があります)。全体的に見て、どちらにも長所と短所があり、最も重要なのはSMS認証に完全に依存しないことです。

まとめ

SIMカード交換攻撃はターゲット性が強く、被害が深刻なセキュリティ上の脅威です。防御の核心戦略は、SMS認証への依存を低減することです。Google Authenticatorまたはハードウェアセキュリティキーを主要な二段階認証方式として使用してください。同時に、個人情報の保護強化、SIMカードPINコードの設定、通信事業者との連携によるSIMカード管理セキュリティの強化が、さらにリスクを低減します。暗号資産セキュリティの分野では、すべての攻撃方式を理解して対策を取ることが、デジタル資産を本当に守ることにつながります。

Binanceに登録 | Binanceアプリをダウンロード