SEC

アラバマ州の男が、ビットコインETFが承認されたと偽の発表をするためにSECのXアカウントをハッキングした容疑で、本日FBIによって逮捕された。

司法省によると、アラバマ州に住む25歳のエリック・カウンシルと共謀者は、SECのXアカウントの担当者のIDを乗っ取るためにSIMスワップ攻撃を行ったという。

“共謀者たちは、カウンシルが行ったとされる無許可の加入者IDモジュール(SIM)スワップを通じて、SECのXアカウントのコントロールを得た。SIMスワップとは、携帯電話キャリアが携帯電話番号を正規の加入者または利用者のSIMカードから犯罪者の管理するSIMカードに再割り当てするよう不正に誘導するプロセスを指す。スキームの一環として、カウンシルと共謀者は、カウンシルが被害者になりすますために使用した被害者名義の詐欺的身分証明書を作成し、被害者の携帯電話アカウントを乗っ取り、SECのXアカウントにアクセスし、SECゲンスラー委員長名義の詐欺的投稿を作成する目的で、被害者の携帯電話番号にリンクされたオンライン・ソーシャルメディア・アカウントにアクセスしたとされている。”

司法省

SECのXアカウントは2024年1月9日にハッキングされ、ついにビットコインETFを証券取引所に上場することを承認したとツイートした。

“本日、SECはビットコインETFの登録証券取引所への上場を承認する。承認されたビットコインETFは、継続的な投資家保護を確保するため、継続的な監視とコンプライアンス措置の対象となる」と、Xへの偽の投稿を読んだ。

このツイートには、ゲーリー・ゲンスラーSEC委員長の画像と、この決定を称賛する引用文が含まれていた。

Tweet from hacked SEC X account
ハッキングされたSEC Xアカウントのツイート
ソースは こちら:

ビットコインはこの発表で一気に1,000ドル価格が跳ね上がり、ゲンスラー氏がSECのアカウントがハッキングされ、発表が偽物であったとツイートした後、同様に一気に2,000ドル価格が急落した。

翌日、SECはXアカウントの担当者に関連する携帯電話番号の SIMスワッピング攻撃によってハッキングが可能であったことを確認した。

SIMスワッピング攻撃では、脅威者は被害者のワイヤレス・キャリアを騙して、顧客の電話番号を攻撃者の管理下にある別のモバイル・デバイスに移植させる。これによりハッカーは、パスワードリセットリンクや多要素認証(MFA)用のワンタイムパスコードを含め、電話番号にリンクされたすべてのテキストや電話を取得できるようになる。

SECによると、ハッカーは同庁の内部システム、データ、デバイス、その他のソーシャルメディア・アカウントにはアクセスできず、SIMスワップは携帯電話会社を騙して番号を移植させることで発生した。

脅威行為者が番号を管理すると、@SECGov Xアカウントのパスワードをリセットし、偽の発表を作成した。

起訴状によると、カウンシルは自分のパソコンを使って攻撃に関するインターネット検索を行っており、その中にはFBIが自分を捜査しているのではないかという懸念を示すものもあった。

これらの検索には、「自分がFBIに捜査されているかどうかを確かめるにはどうすればいいのか」、「FBIから連絡がなくても、FBIの法執行機関に捜査されている兆候は何か」などが含まれていた。

カウンシルは10月10日、コロンビア特別区の連邦大陪審により、テロに関与した容疑で起訴された。同容疑者は現在、加重ID窃盗およびアクセス機器詐欺の共謀罪1件で起訴されており、最高刑は懲役5年となっている。

シムスワッピング攻撃は、標的としたユーザーの電話番号を乗っ取り、ワンタイムパスコードを受け取らせたり、アカウントを侵害させたりする、脅威行為者にとってポピュラーな手段となっている。

このような攻撃は、一般的に多要素認証によってアカウントが保護されているユーザーから暗号通貨を盗むためによく使われる。

ほとんどの通信事業者は、あなたの電話番号が許可なく他の通信事業者にポーティングされないようにロックする方法を導入しており、利用可能な場合は、すべてのユーザーがこれらの保護を有効にすることを強くお勧めします。