米国で携帯会社従業員に賄賂を渡して個人情報を入手していたサイバー犯罪者らが起訴される 32
ストーリー by hylom
ある意味直球な手法 部門より
ある意味直球な手法 部門より
あるAnonymous Coward曰く、
米国では、携帯電話のSIMカードの情報を第三者が勝手に書き換えることで、SMSなどを使った認証を突破してアカウントを乗っ取るという手法が問題となっている(過去記事)。こういった手法を使って仮想通貨ウォレットや仮想通貨口座を乗っ取り、約240万ドル(2億6,300万円)を盗んだという犯罪グループ6名が米国で逮捕・起訴された(PC Watch)。
犯行グループは携帯電話会社の従業員に賄賂を渡して被害者の個人情報を入手、その情報を使ってカスタマーサービスの本人認証を騙し、電話番号を奪い取ったという。
本件では、犯行グループが通信詐欺や個人情報の窃盗などの罪に問われている他、情報を売り飛ばした従業員らも盗難の幇助で刑事告訴されているという。しかし、携帯電話会社が情報を漏らしてしまうのであれば、ユーザー側はどう対策すればいいのだろうか?
日本でも (スコア:1)
YだかSだかで内部犯行の流出騒ぎ無かったっけ
本件では、犯行グループが通信詐欺や個人情報の窃盗などの罪に問われている他、情報を売り飛ばした従業員らも盗難の幇助で刑事告訴されているという。しかし、携帯電話会社が情報を漏らしてしまうのであれば、ユーザー側はどう対策すればいいのだろうか?
人がやってる限りこの手のは無くならないんでしょうね、そのうちAIに任せちゃうようになるんだろうか。
そうなっても、またそのAIを構築するか管理する人が穴になりうるんだろうけど。
Re: (スコア:0)
給料上げるしか無いんじゃないですかね。
加えて作業者が確実に特定できるような手順にすること。
終身雇用守って最後まで勤め上げれば纏まった額の退職金が貰えるなら、
馬鹿なことに手を貸す気は減ると思いますよ。
公務員給与の削減圧力もそうだけど、自分の情報扱ってる人が安月給で働いてたら怖くないですか?
Re: (スコア:0)
銀行員は結構な額をもらってるはずですが、他人の金をちょろまかしたりするのが絶えないのはなぜでしょう?まだ安いの?
Re: (スコア:0)
金があればより己の欲求を満たせるという社会構造が悪い
Re: (スコア:0)
> まだ安いの?
給料を上げれば上げるほど、犯罪を犯す可能性が減るだけでゼロにはならないので
絶えないのは仕方ないでしょう。
給料を下げると件数は増えるんじゃないかな。
Re: (スコア:0)
日産もゴーンにもっと報酬出してればこんなことには…
Re:日本でも (スコア:1)
もっと報酬出せば、もっと激しくやらかしそうに思えてしまう。
Re: (スコア:0)
それだと生活苦理由での行動は説明できても、数百万以上の横領が有る理由が説明できんわな。
Re: (スコア:0)
>銀行員は結構な額をもらってるはずですが、他人の金をちょろまかしたりするのが絶えないのはなぜでしょう?
>まだ安いの?
銀行員って、そんなに横領多かったっけ?
銀行員は、出世のために不正をする印象があるんだけど。
ちな、郵便局員は、横領が多い印象があって、そういう意味では給与はおっと誰かが来た
Re: (スコア:0)
自己弁済したら退職として事件化されませんからなぁ
Re: (スコア:0)
給与が高い方が横領するパターンは多いってデータも有ったぞ。
Re: (スコア:0)
YだかSだかで内部犯行の流出騒ぎ無かったっけ
つまり犯人はヤス!
Re: (スコア:0)
ネタバレ注意!
Re: (スコア:0)
もしかしてN社のこと?
ドコモ、24,632件の個人情報が流出 [impress.co.jp]
Re: (スコア:0)
多重請負代理店制度の日本のほうが漏れてそうなんだが
カード一緒に作るとキャッシュバックとか
個人情報売ってるようなもんだろ
Re: (スコア:0)
ほぼみんな携帯を契約してるので「みんなバカで放置」ですね。
Re: (スコア:0)
契約する会社を選ぶしかないでしょうね
今時点で言えるのは、
「内部犯行の流出騒ぎを起したYだかSだかと契約をする奴がバカ」
てことで良いですかね?
Re:日本でも (スコア:1)
# YやSと契約するつもりはないのでどーでもいい。
Re: (スコア:0)
繰り返し流出やらかして常習化してるところは流石に無理ですね
暗号化するしかない (スコア:0)
台帳であってもその場限りの情報でも、常に平文である必要はない。
個人情報はエンドまで全て暗号化しておき、利用時だけ復号すれば良い。
人力で行う処理で情報が必要な場合には、一時的なアクセス権をデータ処理者に与え、終わったらまたアクセス権を外す。
例えば宅配便の宛名なら、書き込み時には暗号化した文字列の印刷されたシール等を貼れば良いし、配るときだけ業者が確認できれば良い。
その暗号化の解除は必要な時に個人自身がコントロールできるようになっていれば、自分で情報の利用範囲を制御できる。
もしくは、官公庁の管理する台帳へのアクセス権を制御してもいい。
まあ恐ろしくコストがかかり、場合によっては利便性も低く割り切りが必要だろうが、基本的には既知の技術で実現できる範囲だと思う。
Re: (スコア:0)
もちろん普通の事業者は個人情報DBを暗号化してますし、アクセス権は適宜与えていますよ。でも、それじゃSIMスワッピングは防げないです。
end to end での認証に限定するしか (スコア:0)
米国の場合、このスレッドのように人間が介在するケースではなくても、
SMSのメッセージの横取りの可能性が残る携帯ネットワーク構成となっているため、
SMSを使った二段階認証は非推奨という話が依然からありました。
この記事です。
https://japan.zdnet.com/article/35095393/ [zdnet.com]
日本国内の携帯ネットワークであればショートメッセージの横取りは難しいという話だったと思いますが
このようにキャリアの人間が関与するケースではリスクがありますね。
高度なセキュリティが要求される要件だと、SMSは使わず end to end の認証と暗号化に頼った方が
むしろセキュリティが向上するかもしれません。
もちろん弱いパスワードを使っていたり端末側が malware にやられてたりすると論外ですから
端末側が通常よりも堅固に防衛されているケースに限ってですが…
Re: (スコア:0)
タレコミ元を読めばわかると思いますが、本件はキャリアの人間が「SMSを配送経路で盗聴した」のではなく「不正なアクセス権を犯罪者に与えた」と言うべきものなので、暗号化は関係ないオフトピっすね。
ちなみにSMSによる二段階認証は海外のSMSゲートウエイを使っていることが多いので、国内の経路が安全だからといって安心はできないです。
Re: (スコア:0)
#3615456 の AC です。
> キャリアの人間が「SMSを配送経路で盗聴した」のではなく「不正なアクセス権を犯罪者に与えた」と言うべきものなので、
それは分かっています。
で、犯罪者が結果的に SMS 経由のメッセージを盗み、2FA のような認証を突破したという話ですね。
> 暗号化は関係ないオフトピっすね。
まあ暗号化は書かずに認証とだけ書けばよかったですかね。
想定している状況では情報を保護するためにいずれにせよ end to end での認証だけではなく
暗号化もすることにはなりますが。
Re: (スコア:0)
SMSじゃなくて、音声でお知らせしてくる方だったら安心なんですかね?
Googleの二段階認証を音声にしてるんだけど、「発信元:アメリカ合衆国」って出るから最初は大統領かと思っt。
Re: (スコア:0)
SMS盗聴はそうかもしれませんが、今回話題のSIMハイジャックをやられたら、電話番号が盗まれてるのでもう万事休すかと。
Re: (スコア:0)
元のコメントは end to end と言ってるので、
サーバー側で閲覧権限を与えようが、エンドユーザー同士で暗号化すれば見れませんよ。
SIMクローンしたとしても、正規のユーザーが持ってる秘密鍵がないと暗号文が降ってくるだけで意味がない。
EmailでいえばPGPなんかと同じかな。鍵交換とか課題があるので世界中の通信キャリアが絡むSMSでは簡単ではなさそう。
SMS/MMSの後継と言われてるRCSもEndToEnd暗号化じゃないもんな。
Re: (スコア:0)
SIMカードに秘密鍵(Ki)が書き込まれているのに、さらに別に秘密鍵を用意するという話ですか? どうやって管理するんでしょう……
Re: (スコア:0)
YでSMS横取りと思われるなりすましが海外でありました
警察も捜査してくれず泣き寝入りです
日本でも茶飯事では? (スコア:0)
探偵やヤクザが店員抱き込んで情報ゲットは常套手段
Re: (スコア:0)
携帯代理店はその筋も多いから抱き込まなくてもいいはず