Last Updated on 2024-01-24 11:01 by 荒木 啓介
【ダイジェスト】
アメリカ証券取引委員会(SEC)が、自身のアカウントがSIMスワップ攻撃によって侵害されたと発表しました。この攻撃は、多要素認証(MFA)が無効化された後に発生しました。
2023年7月、SECのスタッフはアクセス問題を解決するために意図的にXアカウントのMFAを無効にしました。その後、アカウントが侵害されるまでMFAは再度有効化されませんでした。侵害は1月9日に発生し、ビットコインETFに関するメッセージが投稿されたことで、一時的にビットコインの価値が急騰しました。
この事件を受けて、連邦議員は調査を求め、SEC監察官、連邦捜査局(FBI)、司法省(DoJ)、サイバーセキュリティ・インフラセキュリティ庁(CISA)などの機関が調査を進めています。
SIMスワップ攻撃は、特に防御が難しいとされています。Cequence Securityの脅威研究ディレクターであるウィル・グレイジャー氏は、攻撃者が電話番号を移行させるために、通信事業者の従業員を社会工学的に説得する行為は、攻撃チェーンの最終段階に過ぎないと述べています。それ以前に、攻撃者はしばしば、インターネットに公開されており、ビジネス成長を促進するために意図的に認証なしで設計されているAPIを悪用しようとします。
また、消費者が新しいネットワークに簡単に移行できるように、通信事業者は特定の電話番号を競合他社に移行させるプロセスを意図的に容易にしています。攻撃者は、どの電話番号がどのキャリアに属しているかを学び、既にそのキャリアに属しているため移行できない電話番号を特定することができます。
このようなサイバー攻撃の脅威は、日々進化しており、新たな脆弱性やデータ侵害の情報、新しいトレンドが発見されています。これらの情報は、専門のメディアを通じて日々更新され、関心のある人々にメールで配信されています。セキュリティの専門家や関連する業界の人々にとって、最新の情報を得ることは非常に重要です。
【ニュース解説】
アメリカ証券取引委員会(SEC)は、自らのアカウントがSIMスワップと呼ばれるサイバー攻撃によって侵害されたことを発表しました。この攻撃は、多要素認証(MFA)が一時的に無効にされていた隙をついて行われました。
2023年7月、SECのスタッフはアカウントへのアクセス問題を解決するために、XアカウントのMFAを意図的に無効化しました。しかし、その後アカウントが侵害される1月9日まで、MFAは再び有効にされませんでした。侵害された際には、ビットコインETFに関する誤情報が投稿され、ビットコインの価格が一時的に上昇する事態が発生しました。
この事件を重く見た連邦議員は、詳細な調査を要求しており、SEC監察官、FBI、DoJ、CISAなどの機関が調査を行っています。
SIMスワップ攻撃は、攻撃者が被害者の電話番号を不正に自分のSIMカードに移行させることで、被害者のアカウントにアクセスする手法です。この攻撃を防ぐことは難しく、攻撃者は通信事業者の従業員を騙して電話番号を移行させる社会工学的手法を用います。また、攻撃者は公開されているAPIを悪用することで、どの電話番号がどのキャリアに属しているかを特定し、攻撃を計画します。
サイバーセキュリティに関する情報は日々更新されており、新たな脅威や脆弱性、データ侵害の情報が専門メディアを通じて提供されています。これらの情報を追いかけることは、セキュリティ専門家や関連業界の人々にとって非常に重要です。
