iPhoneのセキュリティ対策情報

2018年9月20日 2018年9月15日

数週間前に、電話番号を盗んで別のSIMカードに再割り当てすることで、ハッカーがInstagramアカウントにアクセスしている様子が報告されました。

ブライアンクレブス（The Verge経由）が今週発掘した裁判記録は、フロリダ当局が先月、7州の犠牲者からSIMカードを盗み、記録されている電話番号を書き換えたとしています。

当局は、母親がAT＆T従業員として働いている彼女の息子を耳にし、法執行機関に警告したときに制度を知った。

法執行機関は家に到着し、息子の部屋を調べ、文書が明らかにし、「SIMカードと携帯電話とともに名前と電話番号のリスト」を発見しました。

最終的に、当局はSIMカードを7つの州の7人の被害者に追跡することができました。

音声通話ソフトのDiscord通じてSIMのハッキングを議論し、個人情報を盗み携帯電話の従業員を偽装したり払ったりして、ターゲットの盗難情報を含む新しいSIMカードを受け取ると言いました。

それを使って、彼らはcryptocurrencyアカウントを含む電話番号に結びついたパスワードを解読する可能性があります。

Handschumacherは、暗号違反の交換を通じて10万ドル以上の利益を出したしたと言いましたが、その罪について無罪を主張しています。

SIMの偽装は、SIMジャッキまたはSIMハッキングとも呼ばれ、「ハッカー」が暗号化財布やオンラインバンキングなどのオンラインアカウントにアクセスするための非常に簡単な方法です。

これは、2要素認証、SMS認証の弱点と考えられており、Instagramなどのいくつかの企業に2因子の追加形態を約束するよう促しています。

iPhoneのスパイウェアメーカー、mSpyは数百万のプライベートレコードを公開しています。

不審な親やパートナーがスパイウェアをiPhoneの使用状況を察知するために使っているmSpyは、何百万もの私的なレコードを誤ってWeb上に公開しています。

公開されるデータには、パスワード、テキストメッセージ、連絡先、通話履歴が含まれます。ノートや位置データなども含まれています。

mSpyがインストールされている場合にはこれらの情報が知らず知らずのうちに流出している可能性があります。

セキュリティリサーチのNitish Shah氏は、Web上のオープンデータベースにKrebsOnSecurityを指揮し、mSpyのサイトの顧客トランザクションとmSpyのソフトウェアが収集した携帯電話データの両方について、最新のmSpyレコードを照会できるようにした。

データベースは認証を必要としませんでした。

過去12時間以内にオフラインになる前に、データベースには、mSpyサイトにログインしたmSpy顧客のユーザー名、パスワード、プライベート暗号化キーを含む数百万のレコードが含まれていました。

秘密鍵は誰でもソフトウェアを実行しているモバイル機器の詳細を追跡して見ることを可能にする、とShahは述べています。

クレブス氏は、データにアクセスする誰もがWhatsAppとFacebookのメッセージを閲覧することができると付け加えています。

2015年にmSpyが以前にハッキングされ、お客様のデータがダークウェブに掲載されました。同社は、それが基づいている国を含む、独自の活動を隠すためにいくつかの長さに行きます。米国では、スパイウェアの販売は犯罪です。

スパイウェアにはiCloudの資格情報が必要ですが、公開されたデータにアクセスするためのログインは必要ありません。

携帯電話会社はすべて、顧客がSIMスワップに対抗するために個人口座番号（PIN）を設定することができるほか、ナンバートポートアウトの詐欺と呼ばれる別のタイプの電話中継も可能です。

しかし、これらの予防措置は、携帯電話の小売店舗で働く不正な内部者に対してはほとんど保護されない場合があります。

5月18日、KrebsOnSecurityは、攻撃者が自分のT-Mobileアカウントに対してSIMスワップを実行した後、3文字のInstagramユーザー名がハイジャックされたボストンの人物に関する記事を発表しました。

Tモバイルによると、その攻撃は不正な社員の助けを借りて行われたとされています。

SIMスワップ詐欺は、テキストメッセージまたは自動電話のいずれかによって送信されるワンタイムコードに依存するマルチファクタ認証方法の決定的な弱点を示しています。

あなたが評価したオンラインアカウントが、アプリケーションによって生成されたワンタイムコードや、より優れたハードウェアベースのセキュリティキーなど、より堅牢なマルチファクタ認証の形態を提供する場合、それらのオプションを最大限に活用することを検討してください。

ただし、SMSベースの認証が利用できる唯一のオプションである場合、アカウントを保護するために単純にユーザー名とパスワードを使用するよりもはるかに優れています。