CoinDesk: FTXハッキングの未解決の謎：SIMカードの盗難

本稿では、米国司法省が最近発表したSIMカードハイジャック事件に関する起訴状を紹介し、同事件の被告であるパウエルらはFTXハッキング事件の攻撃者ではないと主張する。この記事では、SIM カードのハイジャックによるビジネス上のリスクと、暗号化業界に対する規制上の圧力の可能性についても紹介しています。ウー氏は以前、「予測不可能：なぜこれほど多くの暗号化されたTwitterアカウントが盗まれ、フィッシングリンクが投稿されるのか？ どうすれば防げるか」と題するSIMカードハイジャックに関する記事を発表し、攻撃の原理と防止策を紹介した。

記事全文を読む:

https://www.wu-talk.com/index.php?m=content&c=index&a=show&catid=46&id=17606

オリジナルリンク:

https://www.coindesk.com/consensus-magazine/2024/02/12/the-ftx-hack-the-unsolved-sim-swap-mystery/?utm_medium=referral&utm_source=rss&utm_campaign=headlines

米国司法省は最近ひっそりと起訴状を公開し、一部の主流メディアや仮想通貨メディアは、現在は解散した仮想通貨取引所FTXが保有していた4億ドル相当の仮想通貨盗難事件の謎が「解決した」としてすぐに報道した。

しかし、この起訴状は謎を解く鍵ではない。これは、国内および海外の暗号通貨企業が、規制および経済に関する懸念の高まりに直面しているという事実を浮き彫りにしています。特に、2022年11月にFTXに対して発生した「SIMハイジャック」詐欺は、最も基本的な「ハッキング」手法と見なすことができます。この手法は、個人情報の盗難や金融口座保有者のなりすましに依存しており、主に顧客や口座保有者に時代遅れの2要素認証や多要素認証（つまり「2FA」や「MFA」）のプライバシー保護を提供する企業を攻撃します。

米国の連邦規制当局は、SIM ハイジャック攻撃に対して脆弱なプライバシー保護プログラムに依存するシステムに潜在的な損害が発生する可能性について、ますます懸念を強めています。連邦通信委員会は新しい規則を策定しており、証券取引委員会 (SEC) による最近のサイバーセキュリティ規制により、企業はこの特定の脅威に対するプライバシー保護を強化するよう強いられる可能性があります。特にSEC自身が少し前にSIMカードハイジャック事件を経験して以来、この分野での規制を強化する決意がさらに固まったのかもしれない。

新たな疑惑とFTXハッキング

2024年1月24日、コロンビア特別区連邦検事局は、「米国対パウエル他」と題する起訴状を公開した。ロバート・パウエル、カーター・ローン、エミリー・ヘルナンデスの3人は共謀して50人以上の被害者から個人情報（PII）を盗んだ疑いがある。

その後、3人は盗んだ情報を使って偽の身分証明書を作成し、通信業者を騙して個人情報窃盗の被害者の携帯電話アカウントを被告らまたは名前を明かさない「共謀者」が所有する新しい端末に移すよう仕向けた。被告3人は盗んだ個人情報を彼に売った。

この計画は、被害者の電話番号を犯罪者が管理する物理的な電話に再割り当てすることに依存しており、被害者の番号（本質的にはID）を、犯罪者の新しいデバイスに物理的に保存されているカードである加入者識別モジュール（または「SIM」）に転送または移植する必要があります。これは「SIMハイジャック」計画として知られています。

米国対パウエル事件で説明されているSIMハイジャック計画を通じて、被告と匿名の共謀者は、無線通信プロバイダーを欺いて、正当なユーザーのSIMカードから被告または匿名の共謀者が管理するSIMカードに携帯電話番号を再割り当てさせました。 SIMカードのハイジャックにより、パウエル容疑者3人組と他の犯人らは、さまざまな金融機関にある被害者の電子口座にアクセスし、そこから資金を盗むことができた。

被告にとって SIM ハイジャックの主な利点は、口座にアクセスしている人物が正当な口座保有者であることを確認するように設計された新しい不正なデバイスで、それらの金融口座からのメッセージを傍受できることです。通常、詐欺行為が関与していない場合、この認証により、正当なユーザーに SMS またはその他のメッセージが送信され、正当なユーザーは SMS またはメッセージに含まれるコードを提供することで、アカウントへのアクセス試行を確認します。しかし、このケースでは、秘密コードは詐欺師に直接送信され、詐欺師はそれを使用して口座所有者になりすまし、資金を引き出しました。

パウエルの起訴状ではFTXが被害者として名指しされていないが、起訴状に記載されている最大のSIMハイジャック詐欺の容疑は、同社が破産を公表したときに発生したFTXの「ハッキング」に明らかに言及しており、日付、時間、金額は公表されたハッキン​​グのものと一致しており、メディアの報道では、FTXがパウエルの起訴状に記載されている「被害者企業1」であることを捜査関係者が確認している。 FTX のハッキングが発生したとき、犯人については内部者か、秘密裏に活動する政府規制当局かなど、さまざまな憶測が飛び交いました。

パウエル起訴状を報じた見出しの多くは、謎が解けた、つまり3人の被告がFTXハッキングを実行したと宣言した。しかし実際には、起訴状の内容はその逆を示唆している。起訴状では被告3名の名前が具体的に挙げられており、個人識別情報（PII）の窃盗、不正に入手したSIMカードへの電話番号の転送、盗まれたFTXアクセスコードの売却の容疑が詳述されているが、FTX資金の実際の窃盗については被告3名について特に言及されていない。

代わりに、それは「共謀者によるFTXアカウントへの不正アクセス」と「共謀者はFTXの仮想通貨ウォレットから共謀者が管理する仮想通貨ウォレットに4億ドル以上の仮想通貨を送金した」ことに言及しています。起訴状の作成においては、被告人が犯した行為の文脈で被告人の名前を挙げるのが通例です。ここで、最後の、そして最も重要な一歩を踏み出したのは、名前の知られていない「共謀者」だった。これらの「共謀者」が誰なのかという謎は依然として残っており、新たな容疑が浮上するか、裁判でさらなる事実が明らかになるまでは謎のままだろう。

規制当局とビジネスリスク

FTX 事件は、SIM ハイジャックの手口の単純さと蔓延について検察官や規制当局の間で認識が高まっていることを浮き彫りにしている。パウエルの起訴状を読むことは、連邦および州の検察官が毎年追及する数百件のクレジットカード窃盗容疑のうちの1件を読むことと何ら変わらない。詐欺行為に関して言えば、SIM ハイジャックは低コスト、低技術、そして形式的です。しかし、あなたが犯罪者であれば、この方法は有効です。

SIM ハイジャックの有効性は、主に、通信詐欺防止および認証プロトコルの脆弱性と、金融サービス会社を含む多くのオンライン サービス プロバイダーがデフォルトで使用している比較的弱い詐欺防止および認証手順の結果です。最近では、2023 年 12 月に FCC が、ワイヤレス サービス プロバイダー間の SIM ハイジャックの脆弱性に対処するための手順を定めたレポートと命令を発行しました。報告書と命令には、パウエル氏の訴状に記載されているSIMスワップを実行する前に、無線通信事業者が安全な顧客認証方法を使用するとともに、顧客がデバイス上の電話番号を合法的に変更する際に享受する相対的な利便性を維持するよう求める要件が含まれている。 SIMハイジャック犯が、特に安全でないSMSメッセージングチャネルを通じて、基本的な多要素認証（MFA）と安全性の低い二要素認証（2FA）を悪用する利便性に対する認識が高まる中、このバランスを取る行為は、暗号化会社を含む通信会社とそれらに依存するサービスプロバイダーにとって、引き続き課題となるでしょう。

暗号化セキュリティ

パウエル氏の起訴状で疑惑が浮上し、厳しい監視に直面しているのは無線通信サービスプロバイダーだけではない。この事件は暗号通貨業界にとっても教訓と警告となる。

パウエル事件の被告は実際にFTXウォレットにアクセスして資金を流出させたわけではないが、比較的基本的なSIMハイジャックの手法で入手した認証コードを提供されたとされている。 SEC の新たなサイバーセキュリティ体制の文脈において、この事件は、米国で運営されている取引所が、FTX 事件で行われたような「ハッキング」を含むサイバーセキュリティリスクを評価および管理するためのプロセスを開発する必要性を強調しています。 SEC 自体が最近 SIM ハイジャック攻撃の被害に遭ったことを考えると、SEC の執行機関が取引所を標的とした SIM ハイジャック攻撃にさらに注意を払うようになると予想されます。

これにより、SEC や他の規制当局による監視を回避している海外取引所が不利になる可能性がある。サイバーセキュリティのリスク管理、ポリシー、ガバナンスに関する情報を定期的に公開するという SEC の要件と外部監査を組み合わせることで、顧客と取引相手は、FTX で発生したようなインシデントのリスクを軽減するためにこれらの企業が講じている手順を理解できるようになります。オフショア企業はサイバーセキュリティの開示に対して同様に透明性のあるアプローチを採用する可能性がありますが、これにはこれらの企業が透明性を確保する意欲が必要であり、FTX が示したように、透明性の概念に多少抵抗する可能性があります。暗号通貨関連の企業やプロジェクトは、基本的な詐欺師（パウエル事件の被告人など）が数百万ドルを持ち逃げするのを防ぐだけにとどまらない、サイバーセキュリティ対策のレベルを採用、開示、実証、維持するよう、規制当局や市場からますます圧力を受けることが予想されます。