今週末、ヴィタリック・ブテリンは自身のアカウントがハッキングされ、少なくとも70万ドルの損失を投資家に与えたフィッシング・リンクが公開された。ブテリンはその後、攻撃について発言し、それがSIMスワップの結果であったことを確認した。
ヴィタリック・ブテリン、Xアカウントへのハッキングの原因が「SIMスワップ」であったことを確認
つい数日前、イーサリアム(ETH)の創設者であるヴィタリック・ブテリン氏が、自身のXアカウントのハッキング被害に遭いました。注意喚起として、このなりすましはフィッシング・リンクの公開に利用され、罠にかかった様々な投資家から少なくとも70万ドルの暗号通貨と非化け物トークン(NFT)の盗難を引き起こした。
分散型ソーシャルネットワーク「Warpcast」上で、関係者は昨夜、この侵入がいわゆる「SIMスワップ」攻撃によって行われたことを確認した。
一言で言えば、SIMスワッピングは、被害者のSIMカードを「クローン」して、その通信を受信し、ひいてはその二重認証コードを受信することを可能にする。これを実現するには様々な方法があり、ターゲットの個人情報を知っているときに、ターゲットのオペレーターになりすます方法と、共犯者を使ってオペレーターに連絡する方法があります。
電話番号:セキュリティが不十分
Xでは、電話番号を使ってアカウントを作成することができる。しかし、ヴィタリック・ブテリンは、プレミアム・サービスに加入する場合を除いて、アカウント作成時に電話番号を提供した覚えはないと説明している。
このようなリスクを防ぐには、機密とみなされるアカウントのさまざまな識別子を、電話番号を使うだけでリセットできないようにすることが望ましい。
二重認証のためには、特別な専用アプリケーションを使用することが望ましいが、最も安全な解決策は物理的な認証キーを使用することである。例えば、Yubicoブランドの鍵や、FIDO U2Fアプリケーションを使ったLedgerハードウェア・ウォレットがこれを可能にする。
彼は最後に、少なくとも自分のアカウントは有効なイーサリアム・アドレスでしか復元できないので、Warpcastを動かすFarcasterであることに満足していると述べている。この認証方法は、様々なウェブ・アカウントのための電子メールや電話番号に代わる、より安全な方法かもしれないからだ。