SIMスワップによる多要素認証のバイパス、セキュリティ強化が急務に
米司法省(DOJ)は17日、1月に発生した米証券取引委員会(SEC)のXアカウントハッキング事件の首謀者として、アラバマ州在住のエリック・カウンシル・ジュニア容疑者(25歳)を逮捕したと発表した。この事件では、SECのXアカウントを不正に利用し、ビットコインETF承認の偽情報が投稿され、ビットコイン価格が一時的に1,000ドル(約15万円)以上急騰した。
DOJによると、2024年1月9日、カウンシル容疑者は共謀者と共にSECのXアカウントを不正操作し、ゲイリー・ゲンスラーSEC委員長名義で「本日、SECは登録されたすべての証券取引所へのビットコインETFの上場を承認する」という虚偽の投稿を行った。このツイート直後、ビットコイン価格は約15万円以上急騰した。しかし、SECはすぐにアカウントを取り戻し、発表が不正アクセスによるものだと訂正。その結果、ビットコイン価格は45,200ドル(約678万円)付近まで、約30万円以上急落した。当時、SECはビットコインETFの承認を検討中であったため、市場に大きな混乱をもたらした。
FBIの捜査により、カウンシル容疑者らは「SIMスワップ」と呼ばれる手法を用いてSECのXアカウントにアクセスしたことが明らかになった。SIMスワップとは、携帯電話会社を騙して標的の電話番号の制御をハッカーのSIMカードに移し替える手口で、以下の手順で行われた:
- 携帯電話会社を騙して、SECアカウントにアクセスできる人物の電話番号を乗っ取る
- 多要素認証をバイパスし、SECのXアカウントに不正アクセス
- アカウントを使用して偽情報を投稿
カウンシル容疑者は、SIMスワップの成功報酬としてビットコインを受け取っていた。さらに、自身のコンピューターで「SECGOVハック」「連邦身元盗用法」「FBIに調査されているかどうかを確実に知る方法」などを検索していたことも明らかになった。
この事件は、仮想通貨業界全体への警鐘となる。
- 重要な金融規制当局のサイバーセキュリティの脆弱性が露呈
- 偽情報に対する仮想通貨市場の敏感な反応の証明
- 多要素認証の限界と新たなセキュリティ対策の必要性
FBIのデイビッド・ガイスト特別捜査官代理は「この事件では、権限のない者がSIMスワッピングを利用して世界の金融市場を操作しようとした」と述べ、サイバー犯罪への取り締まりを強化する姿勢を示した。
カウンシルは有罪となった場合、最大5年の禁固刑に処される可能性がある。この事件を受け、金融規制当局やソーシャルメディア企業のセキュリティ対策の見直しが急務となっている。また、仮想通貨市場の脆弱性と規制の必要性についても、改めて議論が巻き起こっている。
この事件は、情報セキュリティの重要性を再認識させる機会となった。特に、SIMスワップ攻撃への対策として、ハードウェアウォレットの使用や取引所のセキュリティ設定の見直しが推奨されている。また、公式情報の確認や、複数の信頼できる情報源の利用など、投資判断における慎重さの必要性も浮き彫りになった。
関連:SECのXがハックされ、ETF承認の誤報が流れる|価格は乱高下
関連:利上げ予想を受けビットコインETFへの資金流入が加速=Coinshares
情報ソース:米司法省発表
