SIM スワップ攻撃とは、携帯電話会社や SIM カードの切り替え時に行われる電話番号の引き継ぎプロセスを悪用し、被害者が受信するはずのショートメッセージ (SMS) を代わりに受信する攻撃手法です。Stripe で 2 段階認証に SMS を使用している場合、攻撃者が SIM スワップ攻撃の手口で Stripe アカウントの確認コードを取得し、アカウントに不正アクセスする可能性があります。

SIM カードの仕組み

携帯電話の利用者には 1 枚の SIM カードが発行されます。その SIM カードを携帯電話に装着することで、利用者が識別されます。各電話番号は 1 枚の SIM カードに紐づけられていることになります。近年、物理的なカードの必要性をなくすために eSIM が導入されましたが、機能はどちらも同じです。

携帯電話会社は、各電話番号と紐づいている SIM カードを変更する権限を持っています。万一、利用者が携帯電話を紛失した場合や SIM カードが損傷などによって使用できなくなった場合、利用者が同じ電話番号を使い続けられるようにするためには、SIM カードを変更する必要があるからです。同じ理由で、携帯電話会社の従業員も、この変更を行う権限を持っています。

また、多くの国では、利用者が携帯電話会社を自由に切り替えられるようにすることが法律で義務付けられています。この方針は、健全な競争を促す効果を持つ一方で、利用者が別の電話会社に移行する (このとき、新しい SIM カードが発行される) 際に、携帯電話会社が最小限の本人確認しか行われないという現象にもつながります。

SIM スワップ攻撃の仕組み

この攻撃には複数の手法がありますが、最終的な結果は同じです。

1. 攻撃者は利用者本人の携帯電話会社に連絡をし、本人のふりをして携帯電話を紛失したと伝えます。そして、自分が利用者本人であると携帯電話会社に信じ込ませ、交換用の SIM カードを発行してもらいます。
2. 攻撃者は利用者本人のふりをして別の携帯電話会社に連絡し、その携帯電話会社に切り替えたいと伝えます。切り替えの確認のために新しい携帯電話会社が元の電話会社に連絡する際、攻撃者は自分が利用者本人であると両社に信じ込ませ、新しい携帯電話会社に SIM カードを発行してもらいます。
3. 利用者本人の携帯電話会社の従業員に賄賂を贈り、利用者の電話番号を攻撃者の SIM に紐づけます。

いずれの場合も、攻撃者は利用者の電話番号宛の SMS と通話を受信する SIM カードを手に入れます。一方、利用者本人が持っている携帯電話は使えなくなります。

SIM スワップ攻撃を受けないようにするには、どうすればよいですか？

一般に、複数の第三者が関係するため、SIM スワップ攻撃を防ぐ方法は現時点で存在しません。被害を受けないようにする唯一の方法は、2 段階認証にショートメッセージ (SMS) を使用しないことです。

SMS による 2 段階認証を 有効にしている限り、リスクがあります。別の方法 (認証アプリまたはハードウェアセキュリティキー) による 2 段階認証を有効にして、SMS を無効にする必要があります。