背景
friends.tech はソーシャル プラットフォームです。ユーザーは他のユーザーと話すためにキーを購入する必要があります。キーを購入する人の数が増えるとキーの価格も上がります。キーの所有者はキーを販売することで利益を得ることができます。
2023年10月3日、SlowMistの創設者であるコス氏は、friend.techのユーザーアカウントがハッキングされ資産が盗まれた最近の状況を受けて、friend.techには二要素認証がなく危険であるとソーシャルメディアに投稿した。
2023 年 10 月 5 日、チェーン探偵 ZachXBT は、ハッカーが過去 24 時間に 4 人の異なる Friend.tech ユーザーに対して SIM カード スワップ攻撃を行って 234 ETH (約 385 ETH) の利益を得たとソーシャル メディアに投稿しました。 。
これまでのところ、friend.tech ユーザーは SIM カード交換攻撃により約 306 ETH を失いました。
2023 年 10 月 10 日、friend.tech は、ユーザーが 2 つの FA パスワードを friends.tech アカウントに追加して、キャリアまたは電子メール サービスが侵害された場合に追加の保護を提供できるようになったと発表しました。
2023 年 7 月 17 日、SlowMist CISO @ 23 pds は、コインテレグラフとのインタビューで次のように述べました。「SIM スワップは攻撃コストが低いため、今後ますます人気が高まることが予想されます。また、Web3 の人気が高まり、より多くの人がアクセスするようになります。」 SIM スワップの技術要件が比較的低いため、SIM スワップ攻撃の可能性が高まり、業界に参入する人が増えています。」
下の図は、ブラック マーケットでのさまざまな通信事業者の SIM スワップの見積もりを示しています。
この記事では、さまざまな状況において、この friends.tech のセキュリティ インシデントに基づいて、SIM カード スワッピング攻撃がどのように実行されるか、およびその対処方法について説明します。まずはSIMカードと2FAとは何かについて説明します。
SIM カードと 2FA
SIM カード (Subscriber Identity Module) はユーザー識別モジュールです。 SIM カードの主な機能は、ユーザーの ID とモバイル ネットワーク オペレーターに関する情報を保存し、ユーザーがモバイル ネットワークに接続して電話サービスやデータ サービスを使用できるようにすることです。ユーザーが SIM カードを電話またはその他のモバイル デバイスに挿入すると、デバイスは SIM カード上の情報を読み取り、それを使用してモバイル ネットワークに接続できます。
2 要素認証 (略して 2 FA) は、ユーザーがアクセスするために 2 つの異なるタイプの認証情報を提供することを要求する認証方法です。これは、アカウントのセキュリティを強化するために、オンライン バンキング、電子メール サービス、ソーシャル メディア、クラウド ストレージ、暗号通貨ウォレット、その他のサービスで広く使用されています。 SMS 認証コードは一般的な 2FA 方式であり、SMS 認証コードもランダムではありますが、送信プロセス中に安全ではなく、SIM カード スワップ攻撃などのリスクがあります。
以下では、攻撃者が通常どのように SIM カード スワッピング攻撃を実行するかを説明します。
攻撃テクニック
暗号通貨の分野では、攻撃者は 2 要素認証をバイパスするために被害者の電話番号を制御し、被害者の暗号通貨アカウントへのアクセスを取得することを目的として SIM スワップ攻撃を開始します。
近年、多くの企業データ侵害が発生したことを受けて、盗まれた個人情報をダークウェブ上で販売する取引が行われています。攻撃者は、データ侵害やフィッシングを通じて被害者の ID カードなどの詳細な個人情報を入手します。攻撃者はこの情報を使用して被害者になりすまし、SIM カード交換攻撃を開始します。
(https://www.cert.govt.nz/assets/Uploads/Quarterly-report/2019-Q4/SMS-Swap-diag-full__ResizedImageWzYwMCwyMTld.png)
具体的なプロセスは次のとおりです。
1. ターゲットの特定: 攻撃者はまずターゲットを特定する必要があり、ソーシャル メディアで仮想通貨保有者に関する情報を探します。
2. ソーシャル エンジニアリング: 攻撃者は、フィッシング メールや電話などのソーシャル エンジニアリングを使用して、ターゲットをだまして電話番号やその他の機密情報を提供させる可能性があります。
3. 通信事業者に連絡する: 攻撃者はターゲットの電話番号を特定すると、通常は偽の ID またはソーシャル エンジニアリング手法を使用してターゲットの通信事業者に連絡し、通信事業者にターゲットの電話番号を新しい SIM カードに関連付けるように依頼します。
4. SIM スワッピング: 攻撃者がオペレーターを説得して被害者の電話番号を新しい SIM カードに関連付けることに成功すると、電話番号は 1 つの SIM カードにしか関連付けられないため、被害者の元の SIM カードは非アクティブ化されます。これは、被害者が自分の電話番号にアクセスできなくなり、その電話番号は攻撃者によって管理されることになります。
5. 検証コードの受信: 攻撃者は、二要素認証の検証コードを含むテキスト メッセージや電話通信を被害者から受信できるようになります。
6. 暗号通貨アカウントへのアクセス: 攻撃者は、受け取った検証コードを使用して、被害者の暗号通貨取引所またはウォレット アプリケーションにログインし、暗号通貨資金にアクセスし、不正な取引を実行し、被害者に所有者の資産を譲渡することができます。
反応
SIM カード交換攻撃を防ぐには、次の対策を講じることができます。
SIM カードベースの認証方法は選択しないことをお勧めします。 SIM カードを保護するために PIN コードを設定することもできますが、PIN コードの使用はまだ十分に安全ではないため、アカウントのセキュリティを確保するには認証コードまたはセキュリティ キーを使用する必要があると ZachXBT は指摘しています。攻撃者は多くの場合、単に PIN を忘れただけであるか、あるいは通信会社のスタッフさえも詐欺に関与していると通信会社に信じ込ませることができます。もちろん、PIN コードを設定すると、攻撃の難易度が高まり、SIM カードのセキュリティが向上する可能性があります。
2 要素認証の TOTP アルゴリズムをサポートするオーセンティケータを使用します。以下に、HOTP と TOTP の簡単な比較を示します。 OTP (ワンタイム パスワード) には HOTP と TOTP があり、2 つの違いはそれらを生成するアルゴリズムです。
HOTP はイベントベースの OTP アルゴリズムです。 HOTP が要求され検証されるたびに、カウンタに従ってモビリティ係数が増加します。生成されたパスワードは、ユーザーが別のパスワードを積極的に要求し、認証サーバーによって検証されるまで有効です。 HOTP は有効期間が長いため、攻撃者は考えられるすべての OTP 値をブルートフォースクラッキングしてユーザーアカウントに侵入するリスクが高くなります。
TOTP は時間ベースの OTP アルゴリズムです。時間ステップは、OTP の事前設定された有効期間 (通常は 30 秒) です。ユーザーがウィンドウ内でパスワードを使用しない場合、パスワードは無効になり、アプリケーションにアクセスするには新しいパスワードを要求する必要があります。 HOTP と比較して、TOTP は時間枠が小さく、より安全です。したがって、SlowMist セキュリティ チームは、Google Authenticator、Microsoft Authenticator、Authy などの 2 要素認証の TOTP アルゴリズムをサポートする認証システムを使用することをお勧めします。
不明な送信元からのテキスト メッセージや電子メールには注意し、リンクをクリックして機密情報を提供しないでください。
さらに、friend.tech の被害者は、大量のスパム テキスト メッセージと電話を受信したため、携帯電話を沈黙させたために、アカウントが不正アクセスされた可能性があると警告するオペレーター Verizon からのテキスト メッセージを見逃してしまったと述べました。妥協した。攻撃者は、被害者をだまして携帯電話をミュートにして資金を盗む時間を稼ぐためにこれを行います。したがって、ユーザーは、突然大量のスパム電話やテキスト メッセージを受信した場合にも注意する必要があります。
要約する
SIM カード自体のセキュリティは通信事業者のセキュリティ対策に依存しており、ソーシャル エンジニアリングなどの攻撃に対して脆弱です。したがって、SIM カードベースの認証は使用しないことをお勧めします。アカウントのセキュリティを向上させるために、ユーザーは自分のアカウントに 2 要素認証を追加する必要があり、TOTP アルゴリズムをサポートする認証システムを使用することをお勧めします。最後に、Slow Mist が制作した本をぜひ読んでください。『ブロックチェーンダークフォレスト自助マニュアル』。