こんにちは。日々是発見が楽しみな西山です。
最近、「SIMスワップによるアカウント乗っ取り」が多発しています。
スマホ マイナンバーカード偽造し乗っ取り相次ぐ simスワップ詐欺 ロレックスなど高級時計購入も…対策は? | NHK | IT・ネット
https://www3.nhk.or.jp/news/html/20240518/k10014449141000.html
楽天モバイル、「身に覚えのないeSIM再発行」を注意喚起--犯人はSMS認証も回避可能に - CNET Japan
https://japan.cnet.com/article/35230690/
SIMスワップは日本に限らず世界中で被害が出ており、金銭的な損害も大きくなりがちです。「危険なSMS認証をやめて物理セキュリティキーを利用しよう!」とキャンペーンを打っているセキュリティ企業もあります。
ですが「物理セキュリティキーってどんな使い勝手なの?」という情報はあまり見かけませんね。なので今回、実際に物理セキュリティキーを導入してみた体験レポートをお届けします。
SIMスワップについておさらい
SIMカードは、携帯電話を識別し通話を発着信させるのに必須なICチップが搭載されたカードです(eSIMはオンラインで情報書き換え可能なICチップが携帯電話に内蔵されています)。これを不正に再発行させ、電話番号を本来の利用者から奪って乗っ取るのがSIMスワップです。
再発行させる手段は、日本国内だと
- 偽の免許証やマイナンバーカードを使い、携帯キャリアショップで本人を詐称してSIMカードを再発行させたり、MNP手続きを行う。
- 携帯キャリアの契約者マイページに不正ログインし、SIMカードを再発行させたり、MNP手続きを行う。
という手口が多いようです。
多くのWebサービスで不正ログイン対策として2段階認証が実装されていますが、その多くが携帯電話のSMSを利用しています。つまり、メールアドレスがバレてる状況で電話番号を乗っ取られると、芋づる式に複数のアカウントが奪われ甚大な被害が出てしまいます。
ということで、「物理セキュリティキーを2段階認証デバイスとして登録し、電話番号をアカウントから削除してSIMスワップを無力化する」設定ができるかを試してみました。
今回はApple・Google・Microsoftのアカウントについてテストしています。
※注意電話番号をアカウントから削除すると、パスワードを忘れた、漏洩して乗っ取られた、という時のリカバリー手段が1つ減ります。
「パスワードを忘れた上に物理セキュリティキーもなくしてしまった」なんてことになると、二度とアカウントにログインできず、自分の落ち度で重要なデータを失うことになります。
後述しますが、SIMスワップされる危険そのものを減らす工夫もありますので、自分の注意力やかけられるコストを十分検討してから試みてください。
物理セキュリティキーを電話番号の代わりにする
物理セキュリティキーは複数の企業から様々な製品が提供されていますが、一番メジャーであろう「YubiKey」を使ってみました。
%20(1).jpg?width=1000&height=375&name=Image%20(20)%20(1).jpg)
Appleアカウントについては、「2つ」の物理セキュリティキーを登録しなければなりません。なのでYubiKeyも2つ買うはめになりました(YubiKeyでなくても構わないのですが、他社製品も言うほど安いわけでもなく……)。
Yubikey日本代理店のオフィシャルAmazonストアで、「YubiKey 5 NFC」を1本5600円で購入しました。ショッピングサイトで雑に検索すると、正規品なのかどうか分からないですが、やたら値段が高い(2万円以上とか)ものも出てくるので注意が必要です。
さて、YubiKey登録後に電話番号の削除を試してみた結果は……
Appleアカウント:できない
Appleアカウントは電話番号情報を削除できませんでした。2ファクタ認証を設定する際は必ず「信頼できる電話番号」を1つ以上登録するよう求められ、設定しないと次に進めません。
Googleアカウント、Microsoftアカウント:削除はできる
削除できますが、アカウントの「推奨される対応」という項目で電話番号を追加するようメッセージが出続けます。
ということで、各社とも「SIMスワップの危険」以上に「SMSでのアカウントリカバリができなくなる」デメリットを警戒している様子がうかがえます。
それとログインする時の使い勝手が、率直に言って分かりづらい……と感じました。サービス内の記載からして「パスキー」「セキュリティキー」「FIDO2 WebAuthn」などバラバラで、どこにYubiKeyを登録したらいいのか何度も悩みました。
YubiKeyを登録後も、生体認証対応の端末で二段階認証に進むと「どの二段階認証方法を使いますか?」という選択肢が出てきて、どれを選ぶのが正解なのか、クイズでも出されているのか? と思ってしまうレベルでした。
うまく行かなかったときに自力で色々試して解決法を見つけられる……何と言うか、「YubiKeyマスター」みたいな人ならうまく使えるけど、慣れてない人にポンと渡して使わせるのはまだまだ無理があるように感じます。
SIMスワップそのものを防ぐ?
抜け穴を突いてSIMスワップされるから面倒なので、そもそもできないよう対策できればそれに越したことはないですよね。
私はメインキャリアにpovoを利用していますが、povoはあらゆる手続きをスマホアプリから行うようになっています。auショップに行っても一切対応されないので、偽免許証で本人を騙ってSIMスワップはできません。
MNP予約番号もアプリからしか出せませんし、他社からワンストップMNPをかけても、povo登録のメールアドレスに送られる暗証番号で認証しないと進めません。登録メールアドレスとパスワードさえきっちり管理できていれば「SIMスワップされにくい」と言えるでしょう。
MVNOやサブブランドでは、主にコスト削減のために「各種手続きはWebやアプリを使った非対面のみ」としているキャリアがいくつかありますが、これを逆手に取ってSIMスワップをやりにくくする対抗策はありだと思います。
※引用元:https://povo.jp/information/atop/
アカウント情報のセキュリティ階層構造モデル
以降はSIMスワップとは直接関係ないですが、物理セキュリティキーを自アカウントに導入するにあたって考えた内容です。
YubiKeyに格納できる認証情報の数は上限があります(YubiKeyの最新ファームウェアで100個)。また、従来型パスワード利用の認証情報は記録できません。
つまり「利用しているWebサービスの認証情報すべてをYubiKeyに入れる」のは事実上不可能です。
そこで、物理セキュリティキーを導入するにあたって、以下のような階層構造モデルを作って整理しました。一例としてご参考になれば幸いです。
