SIMカード交換攻撃で2,400万ドルを盗む！21歳の容疑者が暗号資産投資家の口座を空にする

21歳のマンハッタン在住の Nicholas Truglia は、SIMカードスワップ攻撃（SIM卡交換攻擊）によって暗号資産投資家 Michael Terpin の口座を空にし、2,300万ドル超の損失を生じさせたとして、本人も21件の重罪で起訴されています。事件で最も広く流布した細部は、巨額の盗難金額ではなく、容疑者本人が投稿した1本のツイートです。「2,400万を盗んだのに、それでも友だちを作れない。」

SIM換カード攻撃機制：数時間で暗号口座を空にする方法

SIM換カード攻撃機制（SIM換卡攻擊機制）とは、高度に標的化されたソーシャルエンジニアリング手法です。攻撃者は、電気通信事業者のカスタマーサポート担当者を欺くか、買収することで、被害者の携帯電話番号を攻撃者が管理するSIMカードに移します。電話番号の支配権を手に入れると、攻撃者は「パスワードを忘れた場合」機能を利用し、SMSの認証コードで二要素認証（2FA）を回避して、メール、取引所の口座、暗号ウォレットにアクセスできるようになります。

Michael Terpin は、2018年1月7日に SIMカードスワップ攻撃（SIM卡交換攻擊）を受けたと述べています。口座内の2,300万ドル超の暗号資産が、極めて短時間で送金されました。事後、彼は Truglia に対して民事訴訟を提起し、次のように述べました。「今回の訴訟は、私が盗難による損失を継続的に回収しようとする取り組みの一部です。」

容疑者の自己誇大：宣誓供述書が明かす全貌

Truglia の元パートナーである Chris David が提出した宣誓供述書には、容疑者が窃盗の間に見せていた生活習慣や心理状態が詳細に記録されており、事件全体に関する大量の一次情報を提供しています。

Chris David の宣誓供述書に記録された重要な細部

ぜいたくな物質生活：ロレックスの腕時計、月額 6,000 ドルのアパート、10万ドルの現金をクローゼットに保管

自分をロビン・フッドだと称する：「金持ちから奪うが、貧しい人には分けない」と言う

SIM換カード行為を公に喧伝：Twitter アカウント @erupts で、父親に対して SIM換カード攻擊機制（SIM換卡攻擊機制）を行ったことを自慢

逮捕されることは絶対にないと主張：「彼らはどうやって、私の話が間違いだと証明するの？誰も私を刑務所に入れることはできない。私は自分の命を賭けて、そのことを証明してみせる。」

その他の行動記録：David は宣誓供述書の中で、Truglia がレストランの支払いを逃れる習慣があることにも別途言及している

すべての細部の中で、最も大きな影響を与えたのは、そのツイート――「2,400万を盗んだのに、それでも友だちを作れない」です。この自己卑下の含意を持つ公開の表現は、最終的に提出書類の一部となり、暗号セキュリティのコミュニティで広く引用される警告事例になりました。

事件の結果と暗号セキュリティに対する長期的な示唆

Truglia は 2018 年 11 月にマンハッタンで逮捕され、その後加州（加州）へ移送され、21件の重罪指摘に直面しました。彼の事件は、初期の SIM換カード攻擊機制（SIM換卡攻擊機制）が高純度の暗号資産保有者を標的にした代表的なケースであり、電話番号を基盤とする 2FA 認証メカニズムの核心的な弱点も鮮明に示しました。攻撃者は端末を侵害する必要はなく、電話番号を1つ支配するだけで、多数の関連口座を乗っ取れるのです。

この件は、暗号コミュニティにおいて、認証方式のアップグレードの必要性をさらに広く議論させることにつながり、SMSの2FAから、認証器アプリ（Authenticator App）またはハードウェアのセキュリティキー（硬體安全金鑰）への切り替えを、より多くのユーザーや組織が推進する後押しとなりました。

よくある質問

SIMカードスワップ攻撃とは何で、なぜ暗号資産は特に影響を受けやすいのですか？

SIMカードスワップ攻撃（SIM卡交換攻擊）とは、攻撃者がソーシャルエンジニアリングによって電気通信事業者を欺き、被害者の電話番号を自分の SIMカードへ移させる手口です。多くの暗号取引所の口座リセット手順が SMS の認証コードに依存しているため、番号の支配権を手に入れた時点で 2FA を完全に回避でき、暗号資産が高度に脆弱な標的になります。

Michael Terpin の件は暗号セキュリティにどのような影響を与えましたか？

Terpin による Truglia への訴訟は、暗号セキュリティの歴史の中でもっとも代表的な SIMカードスワップ攻擊（SIM卡交換攻擊）事例の1つであり、通信事業者の責任認定に関する業界内の広範な議論を後押ししました。また暗号コミュニティが SMS の2FAをやめ、より安全な硬體安全金鑰（ハードウェア）による認証方式をより積極的に支持するよう促しました。

SIMカードスワップ攻撃に効果的に対処するにはどうすればよいですか？

主な防御策には次のものがあります。硬體安全金鑰（ハードウェアのセキュリティキー）または認証器アプリ（Authenticator App）で SMS の2FA を置き換えること。電気通信事業者に対して SIM ロックまたは口座 PIN コードの設定を申請すること。重要な暗号資産の口座を電話番号と直接紐づけないこと。そして、すべての口座の認証方式を定期的に見直し、電話番号が移されたことで資産がさらされるリスクを下げること。