SIM スワップ攻撃とは、携帯電話会社や SIM カードの切り替え時に行われる電話番号の交換プロセスを悪用し、被害者が受信するはずのショートメッセージを代わりに受信する攻撃手法です。 Stripe で 2 段階認証に SMS を使用している場合、この手法で確認コードを入手した攻撃者がアカウントにアクセスする可能性があります。

SIM カードの仕組み

携帯電話の各利用者は 1 枚の SIM カードを受け取り、その SIM カードを携帯電話に装着することで自身を識別します。つまり、各電話番号は 1 枚の SIM カードにつながっています。近年、物理カードの必要性をなくすために eSIM が導入されましたが、機能はどちらも同じです。

携帯電話会社は、各電話番号がつながる SIM カードを変更する権限を持っています。これが必要なのは、携帯電話を紛失した場合や SIM カードが損傷などによって使用不能となった場合に、利用者が同じ電話番号を使い続けられるようにするためです。同じ理由で、携帯電話会社の従業員はこの変更を行う権限を持っています。

また、多くの国では、利用者が携帯電話会社を自由に切り替えられるようにすることが法律で義務付けられています。この方針は、健全な競争を促す効果を持つ一方で、携帯電話会社が利用者に別の電話会社への移行 (このとき、新しい SIM カードが発行される) を許可する際に最小限の本人確認しか行われない原因でもあります。

SIM スワップ攻撃の仕組み

この攻撃には複数の手法がありますが、最終的な結果は同じです。

1. 攻撃者は利用者のふりをして携帯電話会社に連絡し、携帯電話を紛失したと言います。そして、自分が利用者であると携帯電話会社に信じ込ませ、交換用の SIM カードを発行してもらいます。
2. その後、再び利用者のふりをして別の携帯電話会社に連絡し、電話会社を移行したいと言います。新しい携帯電話会社が以前の電話会社に連絡して移行を確認する際、攻撃者は自分が利用者であると両社に信じ込ませ、新しい携帯電話会社に SIM カードを発行してもらいます。
3. あるいは、利用者の携帯電話会社の従業員に賄賂を贈り、利用者の電話番号が攻撃者の SIM につながるようにします。

いずれの場合も、攻撃者は利用者の電話番号宛の SMS と通話を受信する SIM カードを入手し、利用者の元の電話は使えなくなります。

SIM スワップ攻撃から自分を守る方法

一般には、複数の第三者が関係するため、SIM スワップ攻撃を防ぐ方法は現時点で存在しません。攻撃の有害な結果から自分を守る唯一の方法は、2 段階認証におけるショートメッセージ (SMS) の利用を停止することです。

SMS による 2 段階認証が有効であるかぎり、アカウントはリスクにさらされています。2 段階認証の方法として認証アプリやハードウェアセキュリティキーを代わりに有効化し、SMS を無効にする必要があります。