SMSインターセプトとは

SMSインターセプトとは、他人のSMS(ショートメッセージサービス)を傍受するサイバー攻撃の手法。この手法を悪用すると、SMS宛に送られるワンタイムパスワードを、悪意ある第三者が本人になりすまして受け取り、「2段階認証」(2要素認証)を突破することが可能になる。

主な手口は、「SIMスワップ」と呼ばれるプロセスを悪用する。一般的に、携帯電話(スマホ)の電話番号はSIMカードに紐づいている。デバイスを買い替えたり、紛失や盗難にあった場合、携帯ショップなどで古いデバイスのSIMを無効にし、新しいデバイスのSIMカードで通話やメールなどのインターネット通信を可能にする手続きを行う。この手続きがSIMスワップだ。

通常は携帯ショップの職員がユーザーの身分確認を行い、SIMスワップを行うが、悪意のある詐欺師が携帯ショップをだまし、被害に遭ったユーザーになりすまして、当該ユーザーのIDを犯罪者の携帯のSIMに引き継いでしまう手口が海外などで報じられている。

アカウント強化策として普及する2要素認証では、2要素(2段階)目の認証は、ワンタイムパスワードや合言葉の入力など、1段目のパスワードとは異なる方法で行われるのが一般的だ。

そして、専用のトークンやアプリ、メール、SMS(ショートメッセージサービス)、音声通話など、1段目とは異なる経路で認証が追加される。

SMSインターセプトにより、犯人はユーザーの電話やメッセージにアクセスできるようになり、SMS宛に送信される2要素認証のワンタイムパスワードを盗むことが可能となるのだ。

2018年8月には米国のソーシャルニュースサイト「reddit」が不正アクセスされた事案が報じられたが、この際の手口にSMSインターセプトが用いられ、同社の従業員のアカウントに不正アクセスされた可能性が指摘されている。なお、この問題については、SMSではなくハードウェアトークンを用いた2段階認証を取り入れるなどの対策を実施したということだ。

米国では、かねてより米国国立標準技術研究所(NIST)が、少なくとも公共部門では携帯電話ベースの2段階認証はセキュリティが不十分だと、SMSベースの2段階認証におけるセキュリティの弱点を指摘していた。

日本においてSMSインターセプトが成立するかどうかについては、懐疑的な見解を示す専門家もいるが、不正アクセスを防ぐアカウント強化策として普及する2段階認証の中には、セキュリティの弱点を抱えるものがあり、決して万能ではないことを知ることは重要だろう。

セキュリティ用語辞典一覧ページへ

関連キーワード:

SIM

SIMカード

SIMスワップ

SMS

SMSインターセプト

サイバー攻撃

ワンタイムパスワード

  • 「お使いのAmazon IDがロックされます!」などとAmazonをかたるフィッシングメールに注意喚起
  • カテゴリートップへ
  • JIPDECが全国の企業等の常時SSL化の対応状況について調査結果を発表