バイオメトリクスを使用してSIMカードの乱用を防ぐと、より大きな問題が発生する可能性があります

バイオメトリクスを使用してセキュリティの問題を解決することは問題を根絶するのに役立たないかもしれませんが、それは重大なプライバシーの懸念をもたらすことは確実です、サイバーセキュリティの専門家を提案します。

南アフリカは提案しました SIMスワップ攻撃を阻止するために、SIMカードを購入するときに人々から生体情報を収集します。 これらの攻撃では、詐欺師は、正当なワンタイムパスワード（OTP）を傍受し、トランザクションを承認するために使用する交換用のSIMカードを要求します。 FBIによると、これらの不正取引は合計 2021年には6800万ドル以上. ただし、南アフリカの提案のプライバシーへの影響は、専門家とは相容れません。

「SIMスワッピングの非常に現実的な問題を阻止する方法を探しているプロバイダーに同情します。」 ティムヘルミング、セキュリティエバンジェリスト DomainTools、電子メールでLifewireに伝えました。 「しかし、[生体情報の収集]が正しい答えであるとは確信していません。」

間違ったアプローチ

SIMスワップ攻撃の危険性を説明し、 ステファニー・ブノワ-クルツ、フェニックス大学のサイバーセキュリティ専門家は、ハイジャックされたSIMにより、悪意のある人物が電子メールからオンラインバンキングまで、事実上すべてのデジタルアカウントに侵入する可能性があると述べました。

ハイジャックされたSIMを装備したハッカーは、「パスワードを忘れた」または「アカウントの回復」リクエストを任意のユーザーに送信できます。 あなたの携帯電話番号に関連付けられたオンラインアカウント、およびパスワードをリセットし、本質的にあなたの アカウント。

南アフリカ独立通信局（ICASA）は現在、バイオメトリクスを使用してハッカーをより困難にすることを望んでいます。 重複を要求している人の身元を確認するために生体認証データを要求することにより、重複したSIMを手に入れる SIM。

「SIMスワッピングは間違いなく大きな問題ですが、これは治療が病気よりも悪い場合である可能性があります」とヘルミングは強調しました。

彼は、生体認証データがサービスプロバイダーの手に渡ると、 侵害により、生体認証データが攻撃者の手に渡る可能性があり、攻撃者はそれをさまざまな非常に問題のあるものに悪用する可能性があります 方法。

「生体認証データの収集に関する課題は、収集プロセスだけでなく、収集された情報を保護することでもあります」とBenoit-Kurtz氏は同意しました。

彼女は、バイオメトリクスだけではそもそも問題を解決するのに役立たないと信じています。 これは、悪意のある人物がさまざまな方法を使用して重複するSIMカードを取得し、サービスプロバイダーから直接発行することが唯一の選択肢ではないためです。 実際、Benoit-Kurtzによると、アクティブなSIMの複製を入手するための活気に満ちた闇市場があります。

間違った木を吠える

Benoit-Kurtzは、携帯電話会社と電話メーカーは、モバイルエコシステムを保護する上でより積極的な役割を果たす必要があると考えています。

「電話とSIMカードのセキュリティに関連する重大な課題があります。 SIMをいつどこで変更できるかを取り巻くより強力な制御を実装している通信事業者」 ブノワ・クルツ。

彼女は、業界が協力して取引を防ぐメカニズムを導入する必要があると述べています 新しいSIMが使用されているユーザーと電話を検証するために複数の手順に依存することなく に登録しました。

たとえば、Verizonのような一部の通信事業者は、SIMを移動する前に必要な6桁の転送PINの使用を開始したと彼女は言います。 しかし、これはトランザクションのもう1つのデータポイントであり、詐欺師はソーシャルエンジニアリングのトリックを拡張してこの追加情報を収集することもできます。

業界がステップアップするまで、SIMスワップ攻撃に精通し、身を守るのは人々の責任です。 彼女が提案するトリックの1つは、オンラインアカウントの多要素認証を有効にすると同時に、その認証を確実にすることです。 の認証メカニズムは、に接続されていない電子メールアカウントに確認コードを送信します 電話。

彼女はまた、SIM PINを使用することを提案しています。これは、電話を再起動するたびに入力する複数桁のコードです。 「電話に組み込まれているセキュリティ機能を使用して電話をロックし、リスクを軽減してSIMをプロアクティブに保護できるようにしてください。」