パスワードを忘れた? アカウント作成
13909512 story
携帯電話

米国で携帯会社従業員に賄賂を渡して個人情報を入手していたサイバー犯罪者らが起訴される 32

ストーリー by hylom
ある意味直球な手法 部門より
あるAnonymous Coward曰く、

米国では、携帯電話のSIMカードの情報を第三者が勝手に書き換えることで、SMSなどを使った認証を突破してアカウントを乗っ取るという手法が問題となっている(過去記事)。こういった手法を使って仮想通貨ウォレットや仮想通貨口座を乗っ取り、約240万ドル(2億6,300万円)を盗んだという犯罪グループ6名が米国で逮捕・起訴された(PC Watch)。

犯行グループは携帯電話会社の従業員に賄賂を渡して被害者の個人情報を入手、その情報を使ってカスタマーサービスの本人認証を騙し、電話番号を奪い取ったという。

本件では、犯行グループが通信詐欺や個人情報の窃盗などの罪に問われている他、情報を売り飛ばした従業員らも盗難の幇助で刑事告訴されているという。しかし、携帯電話会社が情報を漏らしてしまうのであれば、ユーザー側はどう対策すればいいのだろうか?

  • by nemui4 (20313) on 2019年05月16日 7時19分 (#3615423) 日記

    YだかSだかで内部犯行の流出騒ぎ無かったっけ

    本件では、犯行グループが通信詐欺や個人情報の窃盗などの罪に問われている他、情報を売り飛ばした従業員らも盗難の幇助で刑事告訴されているという。しかし、携帯電話会社が情報を漏らしてしまうのであれば、ユーザー側はどう対策すればいいのだろうか?

    人がやってる限りこの手のは無くならないんでしょうね、そのうちAIに任せちゃうようになるんだろうか。
    そうなっても、またそのAIを構築するか管理する人が穴になりうるんだろうけど。

    ここに返信
    • by Anonymous Coward

      給料上げるしか無いんじゃないですかね。
      加えて作業者が確実に特定できるような手順にすること。

      終身雇用守って最後まで勤め上げれば纏まった額の退職金が貰えるなら、
      馬鹿なことに手を貸す気は減ると思いますよ。

      公務員給与の削減圧力もそうだけど、自分の情報扱ってる人が安月給で働いてたら怖くないですか?

      • by Anonymous Coward

        銀行員は結構な額をもらってるはずですが、他人の金をちょろまかしたりするのが絶えないのはなぜでしょう?まだ安いの?

        • by Anonymous Coward

          金があればより己の欲求を満たせるという社会構造が悪い

        • by Anonymous Coward

          > まだ安いの?

          給料を上げれば上げるほど、犯罪を犯す可能性が減るだけでゼロにはならないので
          絶えないのは仕方ないでしょう。

          給料を下げると件数は増えるんじゃないかな。

        • by Anonymous Coward

          >銀行員は結構な額をもらってるはずですが、他人の金をちょろまかしたりするのが絶えないのはなぜでしょう?
          >まだ安いの?

          銀行員って、そんなに横領多かったっけ?
          銀行員は、出世のために不正をする印象があるんだけど。

          ちな、郵便局員は、横領が多い印象があって、そういう意味では給与はおっと誰かが来た

          • by Anonymous Coward

            自己弁済したら退職として事件化されませんからなぁ

      • by Anonymous Coward

        給与が高い方が横領するパターンは多いってデータも有ったぞ。

    • by Anonymous Coward

      YだかSだかで内部犯行の流出騒ぎ無かったっけ

      つまり犯人はヤス!

    • by Anonymous Coward

      もしかしてN社のこと?
      ドコモ、24,632件の個人情報が流出 [impress.co.jp]

    • by Anonymous Coward

      多重請負代理店制度の日本のほうが漏れてそうなんだが
      カード一緒に作るとキャッシュバックとか
      個人情報売ってるようなもんだろ

  • by Anonymous Coward on 2019年05月16日 8時50分 (#3615445)

    台帳であってもその場限りの情報でも、常に平文である必要はない。
    個人情報はエンドまで全て暗号化しておき、利用時だけ復号すれば良い。

    人力で行う処理で情報が必要な場合には、一時的なアクセス権をデータ処理者に与え、終わったらまたアクセス権を外す。
    例えば宅配便の宛名なら、書き込み時には暗号化した文字列の印刷されたシール等を貼れば良いし、配るときだけ業者が確認できれば良い。
    その暗号化の解除は必要な時に個人自身がコントロールできるようになっていれば、自分で情報の利用範囲を制御できる。
    もしくは、官公庁の管理する台帳へのアクセス権を制御してもいい。

    まあ恐ろしくコストがかかり、場合によっては利便性も低く割り切りが必要だろうが、基本的には既知の技術で実現できる範囲だと思う。

    ここに返信
    • by Anonymous Coward

      もちろん普通の事業者は個人情報DBを暗号化してますし、アクセス権は適宜与えていますよ。でも、それじゃSIMスワッピングは防げないです。

  • by Anonymous Coward on 2019年05月16日 9時04分 (#3615456)

    米国の場合、このスレッドのように人間が介在するケースではなくても、
    SMSのメッセージの横取りの可能性が残る携帯ネットワーク構成となっているため、
    SMSを使った二段階認証は非推奨という話が依然からありました。
    この記事です。
    https://japan.zdnet.com/article/35095393/ [zdnet.com]

    日本国内の携帯ネットワークであればショートメッセージの横取りは難しいという話だったと思いますが
    このようにキャリアの人間が関与するケースではリスクがありますね。

    高度なセキュリティが要求される要件だと、SMSは使わず end to end の認証と暗号化に頼った方が
    むしろセキュリティが向上するかもしれません。
    もちろん弱いパスワードを使っていたり端末側が malware にやられてたりすると論外ですから
    端末側が通常よりも堅固に防衛されているケースに限ってですが…

    ここに返信
    • by Anonymous Coward

      タレコミ元を読めばわかると思いますが、本件はキャリアの人間が「SMSを配送経路で盗聴した」のではなく「不正なアクセス権を犯罪者に与えた」と言うべきものなので、暗号化は関係ないオフトピっすね。

      ちなみにSMSによる二段階認証は海外のSMSゲートウエイを使っていることが多いので、国内の経路が安全だからといって安心はできないです。

      • by Anonymous Coward

        #3615456 の AC です。

        > キャリアの人間が「SMSを配送経路で盗聴した」のではなく「不正なアクセス権を犯罪者に与えた」と言うべきものなので、

        それは分かっています。
        で、犯罪者が結果的に SMS 経由のメッセージを盗み、2FA のような認証を突破したという話ですね。

        > 暗号化は関係ないオフトピっすね。

        まあ暗号化は書かずに認証とだけ書けばよかったですかね。
        想定している状況では情報を保護するためにいずれにせよ end to end での認証だけではなく
        暗号化もすることにはなりますが。

      • by Anonymous Coward

        SMSじゃなくて、音声でお知らせしてくる方だったら安心なんですかね?
        Googleの二段階認証を音声にしてるんだけど、「発信元:アメリカ合衆国」って出るから最初は大統領かと思っt。

        • by Anonymous Coward

          SMS盗聴はそうかもしれませんが、今回話題のSIMハイジャックをやられたら、電話番号が盗まれてるのでもう万事休すかと。

      • by Anonymous Coward

        元のコメントは end to end と言ってるので、
        サーバー側で閲覧権限を与えようが、エンドユーザー同士で暗号化すれば見れませんよ。
        SIMクローンしたとしても、正規のユーザーが持ってる秘密鍵がないと暗号文が降ってくるだけで意味がない。

        EmailでいえばPGPなんかと同じかな。鍵交換とか課題があるので世界中の通信キャリアが絡むSMSでは簡単ではなさそう。
        SMS/MMSの後継と言われてるRCSもEndToEnd暗号化じゃないもんな。

        • by Anonymous Coward

          SIMカードに秘密鍵(Ki)が書き込まれているのに、さらに別に秘密鍵を用意するという話ですか? どうやって管理するんでしょう……

    • by Anonymous Coward

      YでSMS横取りと思われるなりすましが海外でありました

      警察も捜査してくれず泣き寝入りです

  • by Anonymous Coward on 2019年05月16日 21時01分 (#3615935)

    探偵やヤクザが店員抱き込んで情報ゲットは常套手段

    ここに返信
    • by Anonymous Coward

      携帯代理店はその筋も多いから抱き込まなくてもいいはず

typodupeerror

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

読み込み中...