コンサルティングSaaSの販売と運用会社概要ブログ採用お問い合わせ
IT Admin Blog>SIMスワップ攻撃を阻止する: 回線契約者と携帯電話会社のためのヒント
SIMスワップ攻撃を阻止する: 回線契約者と携帯電話会社のためのヒント
#Keeper#翻訳記事
//images.ctfassets.net/soy4k0zl1vej/5XIbNZJ8B6xC4Lo534kt0P/172d9f9dfc8ef79dbdab6988d0a6f171/public
inagawa
2022/03/23
携帯電話のSIMスワップ攻撃が急増しています。米国だけでも、2021年に回線契約者がSIMスワップで7,000万ドル近くを失ったと推定され、スペインでは最近、国家警察がSIMスワップ攻撃の続発で、銀行口座を流出させた犯罪組織に荷担した罪に問われた8人を逮捕しました。 この問題は非常に広く浸透しており、マイクロソフトは電話やSMSベースの多要素認証(2FA)を使用しないよう回線契約者に警告しています。
Keeper の問い合わせはこちら

SIMスワップとは?

SIMスワップ攻撃は、SIMハイジャック、SIMジャッキング、SIMスプリッティングとも呼ばれ、回線契約者が保有するSIMカードを不正に再発行して攻撃者が盗み取るアカウント・テイクオーバー(ATO)攻撃の一種です。SIMスワップ攻撃は、通常、次の3つの方法のいずれかで行われます。
  1. 回線契約者を狙ったフィッシング攻撃
    攻撃者は、フィッシングサイトで詐取した氏名や住所、生年月日や暗証番号などの個人情報をもとに携帯電話会社の窓口に電話し、契約者になりすましてSIMカードの紛失再発行手続きを行いますスペインで発生した攻撃は、このような方法で行われました。
  2. 携帯電話会社の従業員を狙ったフィッシング攻撃
    このシナリオでは、攻撃者はフィッシング攻撃を利用して、携帯電話会社の従業員にパスワードを提供させるか、マルウェアをダウンロードさせ、それを使って携帯電話会社のシステムに侵入し、攻撃者自身がSIMスワップを実行できるようにします。
  3. 携帯電話会社に潜む内通者を通じた攻撃
    攻撃者が、SIM再発行の権限を持つ携帯電話会社の従業員と直接連携することで発生します。
どのような攻撃であっても、最終的な結果は同じです。攻撃者は従業員の電話番号が書き込まれたSIMを手に入れることでSMSや音声通話の二段階認証を突破し, アカウントやアプリを乗っ取ることができます。

SIMスワップ攻撃を阻止する: 回線契約者のためのヒント

  • オンラインアカウントは可能な限り2FAで保護する。ただし、電話や二段階認証を認証に使用しないこと。代わりに、生体認証、物理的なセキュリティ・トークン、またはプッシュ通知やワンタイムパスワードによる認証アプリを使用しましょう。
  • 携帯電話番号や住所などの個人情報をオンラインで公開しないようにしましょう。
  • 個人的な金融情報をオンラインで共有しないようにしましょう。
  • 携帯電話会社からと称する迷惑電話や電子メールに応答して、契約情報やサポートページの認証情報を提供することは絶対に避けてください。携帯電話会社のカスタマーサービスに電話するか、携帯電話会社のウェブサイトに直接ログインして、連絡先を確認しましょう。
  • すべてのオンラインアカウントには、強力でユニークな(他と被らない)パスワードを使用してください。
  • ログイン情報やその他の機密情報は、テキストファイルやスプレッドシートなど、暗号化されていない媒体には絶対に保存しないでください。代わりに、Keeperのようなパスワードマネージャーを使用することで、あなただけがアクセスできる暗号化されたパスワード保管庫(ボルト)にログイン情報やその他の個人情報を保存することができます。

SIMスワッピングを阻止する: モバイルキャリアのためのヒント

  • フィッシング攻撃がSIMスワッピングにどのように利用されているかなど、サイバーセキュリティに関する意識について従業員に教育しましょう。
  • 従業員から「携帯番号が変わった」と連絡を受けた場合に、それを慎重に確認するステップを盛り込むなど、セキュリティを高める包括的な手順を定めましょう。
  • 役割ベースのアクセス制御(RBAC)を使用して、従業員の携帯番号を編集できる権限をもつ担当者を制限し、監査ログを使用して、誰がいつ切り替えを行ったかなど、このアクティビティをすべて追跡しましょう。
  • 従業員には、強力でユニークなパスワードの使用を義務付け、すべての業務用アカウントで2FAを有効にし、Keeperのような堅牢なエンタープライズパスワード管理と暗号化プラットフォームでこれらのポリシーを実施しましょう。

まとめ

Keeperのゼロナレッジパスワード管理およびセキュリティプラットフォームは、IT管理者が従業員のパスワードの使用状況を完全に可視化し、パスワードの使用を監視し、パスワードの複雑性の要件、2FA、RBAC、その他のセキュリティポリシーを含む組織全体のパスワードセキュリティのポリシーを実施できるようにしましょう。
原文はこちら:Stopping SIM Swapping: Tips for Consumers & Mobile Carriers

Keeper managed by ZUNDA について

ZUNDA株式会社は Keeper Security Inc 認定のMSP代理店として、パスワードマネージャーKeeperを法人・組織の皆様にお届けしております。
組織におけるパスワードの管理の効率化やセキュリティの向上を実現すべく、日本語による充実のサポートと運用管理(マネージドサービス)を日本のお客様に提供します。
詳しくはKeeper managed by ZUNDA 紹介サイトをご覧ください。
30日トライアルを申し込む
<<< Next Post
NVIDIAの情報漏えいが物語る、従業員のパスワード保護の重要性
Previous Post >>>
パスワードの柔軟な共有を可能にするショートカット機能を紹介
Keeper の関連記事
Related Posts
2024/07/24
#Keeper#ZUNDA
Keeper Password Manager を ShowNet に提供しました
今年も、Keeper Password Manager を ShowNet に提供しました。 このブログでは、ShowNet で Keeper を活用いただいた方からの感想や、様々な組織に所属するユー...
2024/04/30
#Keeper#ZUNDA
パスワードマネージャーの乗り換え成功のポイント!
Keeper への乗り換えを成功させるために、抑えるべきポイントをご案内します。
2024/01/19
#Keeper
Keeper Admin Console (管理者向け機能) v16.16.0 リリース
Keeper の管理者向け機能が v16.16.0 にアップデートされました。機能更新について簡単にまとめます。
Privacy Policy
Public Notice
© ZUNDA Inc.