SIM スワップ攻撃とは、携帯電話会社や SIM カードの切り替え時に行われる電話番号の交換プロセスを悪用し、被害者が受信するはずのショートメッセージを代わりに受信する攻撃手法です。 Stripe で 2 段階認証に SMS を使用している場合、この手法で確認コードを入手した攻撃者がアカウントにアクセスする可能性があります。
携帯電話の各利用者は 1 枚の SIM カードを受け取り、その SIM カードを携帯電話に装着することで自身を識別します。つまり、各電話番号は 1 枚の SIM カードにつながっています。近年、物理カードの必要性をなくすために eSIM が導入されましたが、機能はどちらも同じです。
携帯電話会社は、各電話番号がつながる SIM カードを変更する権限を持っています。これが必要なのは、携帯電話を紛失した場合や SIM カードが損傷などによって使用不能となった場合に、利用者が同じ電話番号を使い続けられるようにするためです。同じ理由で、携帯電話会社の従業員はこの変更を行う権限を持っています。
また、多くの国では、利用者が携帯電話会社を自由に切り替えられるようにすることが法律で義務付けられています。この方針は、健全な競争を促す効果を持つ一方で、携帯電話会社が利用者に別の電話会社への移行 (このとき、新しい SIM カードが発行される) を許可する際に最小限の本人確認しか行われない原因でもあります。
この攻撃には複数の手法がありますが、最終的な結果は同じです。
いずれの場合も、攻撃者は利用者の電話番号宛の SMS と通話を受信する SIM カードを入手し、利用者の元の電話は使えなくなります。
一般には、複数の第三者が関係するため、SIM スワップ攻撃を防ぐ方法は現時点で存在しません。攻撃の有害な結果から自分を守る唯一の方法は、2 段階認証におけるショートメッセージ (SMS) の利用を停止することです。
SMS による 2 段階認証が有効であるかぎり、アカウントはリスクにさらされています。2 段階認証の方法として認証アプリやハードウェアセキュリティキーを代わりに有効化し、SMS を無効にする必要があります。