FTXハッキング事件、未解決のSIMカードによる暗号通貨盗難の謎
TechFlow厳選深潮セレクト
FTXハッキング事件、未解決のSIMカードによる暗号通貨盗難の謎
岸上およびオフショアの暗号資産企業は、規制面および経済面での懸念が高まっている。
Web3業界の深掘り報道に専念し潮流を洞察執筆:Andrew Adams、Coindesk
翻訳:吴说ブロックチェーン
本稿では、米司法省が最近公表したSIMカード乗っ取り事件に関する起訴状について紹介し、被告のパウエルらがFTXハッキング事件の攻撃者ではないと指摘している。また、SIMカード乗っ取りによるビジネスリスクおよび暗号資産業界に及ぼす可能性のある規制圧力にも言及している。これ以前に吴说は『防ぎようがない:なぜ多数の暗号資産系Twitterアカウントがフィッシングリンクを投稿されるのか?どう対策すべきか』という関連記事を発表しており、その攻撃原理と防止策を解説していた。
最近、米司法省はひっそりと一通の起訴状の封印を解除した。これを受けていくつかの主流メディアおよび暗号資産メディアが速やかに報道し、「4億ドル規模の暗号資産盗難事件の謎が解明された」と称した。これらの暗号資産は、破綻した暗号資産取引所FTXが保有していたものである。
しかし、この起訴状は謎を解決する鍵ではない。むしろ明らかになったのは、オンショア・オフショアを問わず、暗号資産企業がますます増大する規制上および経済上の懸念に直面しているという事実である。特に2022年11月にFTXで発生した「SIMカード乗っ取り」詐欺事件は、最も基本的な「ハッキング」手法と言っても過言ではなく、これは身元の盗用と金融口座所有者のなりすましに依存しており、顧客および口座所有者に対して次第に古びた二要素(2FA)または多要素認証(MFA)によるプライバシー保護を提供する企業を主な標的にしている。
米国の連邦規制当局は、SIMカード乗っ取り攻撃に脆弱なプライバシー保護システムの潜在的危険性にますます注目している。連邦通信委員会(FCC)は新たな規則を策定中であり、また米証券取引委員会(SEC)が最近導入したサイバーセキュリティ規定により、企業はこの特定の脅威に対抗するためのプライバシー保護措置を強化せざるを得なくなるだろう。特にSEC自身がつい最近SIMカード乗っ取りの被害を受けたことから、このような規制強化への決意をさらに固めたと考えられる。
新規告訴とFTXハッキング
2024年1月24日、コロンビア特別区の米国検察官事務所は「米国対パウエルら」(United States v. Powell et al.)と題する起訴状を公開した。これによると、ロバート・パウエル、カーター・ローン、エミリー・ヘレラの3人は協力して50人以上の被害者の個人識別情報(PII)を盗み出したとされている。
この3人はその後、盗んだ情報を使用して偽造身分証を作成し、電気通信事業者を騙して、身分盗用の被害者の携帯電話アカウントを被告または名前の明示されていない「共謀者」が保有する新しい端末に移行させた。被告らは盗んだPIIを販売した。
この計画は、被害者の電話番号を犯罪者が支配する物理的な電話に再割り当てることに依拠しており、そのためには被害者の番号(本質的には身分)をユーザー識別モジュール(いわゆる「SIM」)カードに移管する必要がある。このSIMカードは、犯罪者の新しい端末内に実際に保管される。このような行為は「SIMカード乗っ取り」(SIM swapping)と呼ばれる。
「米国対パウエル」事件で述べられているSIMカード乗っ取り計画を通じて、被告および名前の明示されていない共謀者は無線通信事業者を騙し、合法ユーザーのSIMカードから被告または共謀者が支配するSIMカードへ電話番号を再割り当てた。これにより、パウエルらおよび他の関係者はさまざまな金融機関における被害者の電子口座にアクセスし、そこから資金を盗み出すことが可能となった。
被告にとってSIMカード乗っ取りの主な利点は、新たな不正な端末上で金融口座からのメッセージを傍受できることにある。通常、こうしたメッセージは口座アクセスを試みる人物が正当な口座所有者かどうかを確認するために送信される。正常であれば、SMSメッセージやその他の通知が正当なユーザーに送られ、ユーザーはそこに含まれるコードを提示することでアクセスを認証する。しかし今回のケースでは、秘密コードが直接詐欺師に送られ、彼らはそのコードを使用して口座所有者のふりをして資金を引き出したのである。
パウエルに対する起訴状はFTXを被害者として明記していないが、起訴状に記載された最大規模のSIMカード乗っ取り詐欺事件の内容は、同社が破産を公表した際に発生したFTXの「ハッキング」事件を明らかに示唆している。日時や金額が公に報じられたハッキング事件と一致しており、メディアの報道には内部調査筋からの確認も含まれており、FTXが起訴状中の「被害企業-1」であることはすでに確認されている。FTXハッキング当時、犯人は誰かについて多くの憶測が飛び交った――内部関係者の犯行か、それとも政府規制当局による陰謀か?
パウエル起訴状に関する多くの報道記事の見出しは「謎が解けた」と宣言している。すなわち「3人の被告がFTXハッキングを実行した」というものだ。しかし実際には、起訴状の内容は逆のことを示唆している。起訴状は確かに3人の被告の氏名を明確に列挙し、個人識別情報(PII)の盗難、詐欺的に取得したSIMカードへの電話番号の移行、そして盗まれたFTXアクセスコードの販売行為について詳細に記述している。しかし、実際にFTXの資金を盗み出したプロセスについては、この3人の被告に言及していないのである。
代わりに「共謀者がFTXアカウントに不正アクセスし」「共謀者が4億ドルを超える仮想通貨をFTXのウォレットから共謀者が支配するウォレットへ移転した」と記されている。起訴状作成の慣例では、被告が行った行為についてはその名前を明記する。ところがここでは、最終的かつ最も重要なステップを踏んだのは名前のない「共謀者」なのである。「共謀者」が誰なのかという謎は依然として残っており、新たな告訴が出るか裁判でさらなる事実が明らかになるまで、解明されない可能性がある。
規制当局とビジネスリスク
FTX事件は、検察官および規制当局がSIMカード乗っ取りの単純さと普遍性についてますます認識を深めていることを浮き彫りにしている。パウエル起訴状を読むと、毎年何百件も追及されるクレジットカード盗難事件の起訴状とほとんど変わりない印象を受ける。詐欺行為としては、SIMカード乗っ取りはコストが低く、技術的難易度も低く、形式化されたものだ。だが、犯罪者にとっては効果的なのだ。
SIMカード乗っ取りの有効性は、大きくは電気通信事業者の不正防止および本人確認プロトコルの脆弱性、および多くのオンラインサービスプロバイダー(金融サービス企業を含む)がデフォルトで採用している比較的弱い不正防止および本人確認手続きに起因している。2023年12月、連邦通信委員会(FCC)は報告書と命令を発表し、無線サービスプロバイダーにおけるSIMカード乗っ取りの脆弱性への対処を図った。この報告書および命令では、パウエル起訴状で述べられているようなSIMカード交換を行う前に、安全な顧客認証方法の使用を無線プロバイダーに義務付けている一方で、正当な端末交換時に顧客が享受する利便性をある程度維持しようとしている。SIMカード乗っ取り犯が、基本的な多要素認証(MFA)や、より安全性の低い二要素認証(2FA)、特に不安定なSMSメッセージ経路の利便性を悪用しているという認識が高まる中、このバランスの維持は今後も電気通信事業者およびそれらに依存するサービスプロバイダー(暗号資産企業を含む)にとって課題となるだろう。
暗号資産のセキュリティ
無線サービスプロバイダーだけが、パウエル起訴状の告訴に関連して増大する監視の対象となっているわけではない。この事例は暗号資産業界にとっても教訓と警告を含んでいる。
たとえパウエル事件の被告が実際にFTXのウォレットにアクセスして資金を抜き取った人物ではなかったとしても、彼らが相対的に基本的なSIMカード乗っ取り計画によって得た認証コードを提供したとされている。SECが新たに導入したサイバーセキュリティ体制の文脈において、この事例は米国内で運営する取引所が、FTX事件で行われたような「ハッキング」行為を含むサイバーセキュリティリスクを評価・管理するプロセスを構築する必要性を浮き彫りにしている。SEC自体が最近SIMカード乗っ取りの被害を受けたことを考えれば、今後同委員会の執行部門が取引所を狙ったSIMカード乗っ取り攻撃に対してさらに注目を向けるのは当然であろう。
これは、SECその他の規制当局の監督を避けようとするオフショア取引所にとって不利な状況を生むかもしれない。SECがサイバーセキュリティリスク管理、戦略およびガバナンスに関する情報を定期的に開示することを求めていることに加え、外部監査が行われることで、顧客および取引相手はこれらの企業がFTXのような事件のリスクを軽減するためにどのような措置を講じているかを理解できるようになる。オフショア企業も同様の透明性を持つサイバーセキュリティ開示を行うことは可能だが、そのためには企業自らが透明性を志向する意思が必要となる。しかし、そうした企業の中には透明性に対して抵抗感を抱くところもあり、まさにFTXがその好例と言えるだろう。暗号資産企業およびプロジェクトは、規制当局および市場からのより大きな圧力を受けることになると予想される。それは、パウエル事件で述べられているような基礎的な詐欺師が数百万ドルを持ち逃げするのを阻止するレベルをはるかに超える、サイバーセキュリティ対策の採用、開示、実証および維持を求める圧力である。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
CoinDesk
