SIMスワッピングで4億ドル盗難、米国民3人起訴される

2024年2月1日、アメリカ合衆国の3人の市民が、2022年11月にSIMスワッピング攻撃を利用して4億ドル以上を盗んだとして起訴されました。被害組織の名前は公表されていませんが、破産を申請したばかりの暗号通貨取引所FTXからの資金が盗まれた可能性が高いとされています。

起訴状によると、シカゴ在住のロバート・パウエル（別名「R」、「R$」、「ElSwapo1」）が「パウエルSIMスワッピングクルー」と呼ばれるグループのリーダーであり、コロラド州在住のエミリー・ヘルナンデス（別名「Em」）とインディアナ州在住のカーター・ローン（別名「Carti」、「Punslayer」）がデバイスの侵害を支援したとされています。SIMスワッピング攻撃では、犯罪者が被害者の電話番号を自分たちのデバイスに転送し、SMS経由で送信される認証用のワンタイムパスコードやパスワードリセットリンクなどを傍受します。

この事件では、犯人たちが2022年11月11日にAT&Tの顧客を偽装し、偽造IDを使用して小売店でSIMスワップを行い、4億ドルの暗号通貨を盗んだとされています。しかし、起訴状では被害者を「被害者1」としか言及していません。

このSIMスワッピングによる4億ドルの暗号通貨盗難に関与したとされる犯人たちは全員アメリカ居住者ですが、ロシアに拠点を置く組織的なサイバー犯罪者からの支援があった可能性が示唆されています。2023年10月、ブロックチェーン情報会社Ellipticは、FTXから盗まれた資金がロシアに関連する犯罪グループとのつながりを持つ取引所を通じて洗浄されたとする報告書を発表しました。

【ニュース解説】

2022年11月、SIMスワッピング攻撃を利用して4億ドル以上の暗号通貨を盗んだとして、アメリカ合衆国の3人の市民が起訴されました。この攻撃は、破産を申請したばかりの暗号通貨取引所FTXからの資金が盗まれた可能性が高いとされています。起訴状によると、この犯罪グループは、被害者の電話番号を自分たちのデバイスに転送し、SMS経由で送信される認証用のワンタイムパスコードやパスワードリセットリンクなどを傍受する手法を用いました。

この事件は、デジタル資産のセキュリティと、特に暗号通貨取引所が直面しているリスクについての重要な議論を提起します。SIMスワッピングは、攻撃者が被害者の携帯電話サービスプロバイダーになりすまし、被害者の電話番号を攻撃者のデバイスに移行させることで、二要素認証を回避する一般的な手法です。この攻撃は、個人情報の保護とセキュリティ対策の強化がいかに重要であるかを示しています。

さらに、この事件は国際的なサイバー犯罪の複雑さを浮き彫りにしています。犯人たちはアメリカ居住者でしたが、ロシアに拠点を置く組織的なサイバー犯罪者からの支援があった可能性が示唆されています。これは、サイバー犯罪が国境を越えて行われ、異なる国の犯罪者グループ間で協力が行われていることを示しており、国際的な協力と情報共有がサイバー犯罪対策において不可欠であることを強調しています。

この事件のポジティブな側面としては、暗号通貨の追跡と分析技術の進歩が示されています。ブロックチェーン情報会社Ellipticなどの専門機関は、盗まれた資金の流れを追跡し、犯罪に関連する取引所や資金の流れを特定することができました。これは、暗号通貨が透明性と追跡可能性を備えていることを示し、将来的には犯罪の抑止や解決に役立つ可能性があります。

しかし、このような大規模な盗難事件は、暗号通貨業界に対する規制の必要性を再び浮き彫りにします。暗号通貨取引所やウォレットサービスは、より厳格なセキュリティ対策と顧客の資産保護を確保するために、規制当局と協力して取り組む必要があります。また、SIMスワッピングのような攻撃手法に対抗するために、二要素認証の方法を見直し、より安全な認証手段の導入を検討することが求められます。

長期的には、この事件は暗号通貨とデジタル資産のセキュリティ強化に向けた取り組みを加速させるきっかけとなる可能性があります。技術の進化とともに、サイバー犯罪者の手法も進化しているため、業界全体でのセキュリティ意識の向上と、最新のセキュリティ技術の積極的な採用が重要です。

from Arrests in $400M SIM-Swap Tied to Heist at FTX?.