SMS認証が凶器に変わる｜SIMスワップ攻撃とBTCの消失経路

取引所のアカウントに二要素認証（2FA）を設定している。SMS認証を有効にしている。だから安全だ──そう思っているビットコイン保有者は多い。だが、その「安全策」が逆に最大の弱点になることがある。

SIMスワップ攻撃はその典型だ。

電話番号が「合鍵」になる仕組み

SIMスワップとは、攻撃者があなたの携帯電話番号を自分のSIMカードに不正に移管させる攻撃手法だ。手口は単純で、攻撃者はあなたの氏名・住所・生年月日などをあらかじめ入手し、キャリアのサポートに「SIM再発行」を依頼する。ソーシャルエンジニアリングで担当者を欺くケースも多い。

担当者がなりすましを見抜けなければ、その瞬間からあなたの電話番号は攻撃者の手の中に入る。

電話番号さえ奪えれば、次は簡単だ。取引所の「パスワードを忘れた」フローを使い、SMSで届いた認証コードを攻撃者のスマートフォンで受信する。ログイン → 出金先アドレスを変更 → BTC全額送金。これだけで完結する。

この攻撃が今、急増している。英国では前年比1,055%という異常な増加率が報告されており、FBIも約2,600万ドル規模の被害を記録している。

被害者の多くは「自分がターゲットにされるとは思っていなかった」と言う。しかし現実は違う。攻撃者は数百・数千のアカウントを機械的に狙い、SMS認証を使っている人間を探し出す。「普通の個人投資家」であることは、標的から外れる理由にならない。

特に注意が必要なのは、SNSで保有量や取引所名を公開している場合だ。ターゲットの優先度が一気に上がる。名前と電話番号さえ特定できれば、あとは数千円の手間でSIMを乗っ取れる攻撃者にとって、あなたのアカウントは格好の標的になる。

2FAは「知識（パスワード）」と「所持（スマートフォン）」の2要素を要求することでセキュリティを高める仕組みだ。ところが、SMS認証の場合、「所持」の実態は「電話番号の権利」に過ぎない。

電話番号の管理権はキャリアが握っており、人間の確認フローを通じて変更できる。パスワードをどれだけ強くしても、SIMスワップを許してしまえば2つ目の鍵ごと奪われる。

「2FAを設定しているから安全」という感覚は、SMS認証に限っては成り立たない。2FAが「認証の強化」ではなく「認証の一点集約」になってしまっているのだ。

取引所の設定でSMS認証を使っている場合、TOTPアプリ（Google AuthenticatorやAegis）やハードウェアキー（YubiKeyなど）への切り替えは有効な対策だ。SMS認証よりも大幅に耐性が上がる。ただし、それでも本質的な問題は別のところにある。

SMS認証の脆弱性は、あくまでも問題の表層だ。より根本的な問題は、取引所がビットコインの秘密鍵を管理しているという構造にある。

取引所にBTCを預けているということは、取引所のシステムが攻撃されれば、サービスが停止されれば、出金制限がかかれば──あなたは何もできないということだ。SMS認証が突破されれば全損するのも、そもそも攻撃者が「取引所のログイン」だけで出金できる状態になっているからだ。

セルフカストディを採用していれば、この攻撃は根本的に無力化される。

ハードウェアウォレットに保管されたビットコインを動かすには、物理デバイスが手元にあり、PINを知っており、トランザクションに署名する必要がある。電話番号もキャリアも取引所のログイン画面も、一切関係ない。

攻撃者がSIMスワップに成功しても、あなたのデバイスに触れない限り、1サトシも動かせない。

まず短期的な対策として、キャリアのサポート窓口でSIM変更時の本人確認を強化する設定（キャリアによって「SIM変更ロック」「暗証番号強化」等の名称）を確認しておきたい。取引所の認証をSMSからTOTPアプリに切り替えることも即効性がある。

しかし、長期的にビットコインを守るなら、秘密鍵を自分のデバイスで管理するセルフカストディが唯一の根本的な解答だ。

攻撃手法は年々進化する。SIMスワップは前年比で10倍以上に増えた。来年はどんな手口が主流になるかは誰にもわからない。しかし秘密鍵がオフラインの自分のデバイスにある限り、その大半は無力化される。

「2FAを設定しているから大丈夫」という安心感を、一度だけ疑ってみてほしい。

※本記事は一般的な情報提供を目的としており、投資助言ではありません。