SIMスワップ攻撃に注意するよう社内喚起しました

僕の会社での肩書が「セキュリティエバンジェリスト」和訳すれば「セキュリティ伝道師」ということで、社内にセキュリティを浸透、啓発するのがミッションです。コンピュータ・インターネットなくして現代の仕事は成り立ちませんが、誰もが詳しい知識を持っているわけではありません。ことセキュリティに関して情報展開して会社のセキュリティレベルを高めることが大切と考えています。どんなに有用なソフトウェア、サービスを導入してもセキュリティの最前線は結局のところ人（攻撃者も、セキュリティリスクも）なので。

先日会社のグループウェアでSIMスワップ攻撃についてアナウンスしました。SIMスワップ攻撃（SIMスワップ詐欺、SIMハイジャックなどとも）とはアカウント乗っ取り攻撃の一種です。本人認証で使われていることも多いSMS（携帯電話番号）。電話番号は、SIMカードに紐づいていますが、何らかの形でターゲットに成りすまして自分のSIMカードと交換（スワップ）します。この攻撃が成立すれば、パスワードの初期化（パスワードを忘れた場合、SMSにパスワード初期化のURLが送られるシステムは少なくありません）ができてしまいます。そうすればやりたい放題ですよね。

SIMスワップ攻撃を使って友人のWebサイトをハッキングしてみた

上記記事のように事例自体は2021年には見られましたが、今月（2023年5月）には国内で初めて逮捕の事例が出るなど、国内でも徐々に広がってきています。

スマホ乗っ取る「SIMスワップ」詐欺か　他人装い出金容疑で女逮捕　警視庁

今回の記事のサムネイルは上記記事から引用しています。

このニュースは地元の新聞でも（新聞にすら、とも言えるかもしれません）報道されていました。いよいよ警戒が必要なのでは、と考え社内に展開しました。例のごとく、いかに一般の人たちにセキュリティの記事を読んでもらうかを工夫しました。このブログでも書いた業務の中でも起こりうる情報漏洩については、当事者意識を持ってもらうために業務の中でも普通にやりそうな事例を実際にクラウド上のドキュメントファイルで体験してもらいましたが、今回は読んでもらうよう、気を引く文章を入れてみました。

「海外で発生した推理小説のような実例も併せて紹介しています、ぜひ読んでください」

この事例とは、セキュリティエンジニア御用達のインターネットラジオセキュリティのアレで紹介された以下の記事。 My phone, my credit card, my hacker, and me 詳細はこの放送の40分過ぎからを聴いてもらうとして、こんな推理小説のような実例が起こりうるのですね！先ほど書いた文言の繰り返しにもなりますが、どんなに有用なソフトウェア、サービスを導入してもセキュリティの最前線は結局のところ人（攻撃者も、セキュリティリスクも）なのですね。

今回紹介したITmediaのSIMスワップ攻撃については続報のコラムが先日掲載されました。

日本でも初摘発された“SIMスワップ”　確実な防御策がない中でも“できること”

会員限定の記事なので全社展開は出来ませんが、確実な防御策がないSIMスワップ攻撃への対策は「こういう攻撃が存在するよ」と啓発することとありましたので、地道な情報共有がセキュリティ事故を防ぐと信じたいです。今回の社内記事はそこそこの人が読んでくれました、とはいえ従業員の人数を考慮するとまだまだ。多くの従業員が読んでくれる記事をどうやって展開すればよいのか、まだ極意はつかめていません。