英国1,055%増が示す盲点｜取引所2FAと電話番号依存の逆説

取引所のセキュリティ設定を丁寧にしているから安心、と思っていないでしょうか。

スマートフォンに届くSMSで2段階認証を設定している。そう聞けば、むしろ堅牢な保護のように聞こえます。ところがこの「安心感」が、攻撃者にとって最大の入り口になりつつあります。英国でのSIMスワップ被害が前年比1,055%増という数字が、その現実を示しています。

「電話番号を奪う」という攻撃の現実

SIMスワップ攻撃は、暗号技術の破壊とは無関係です。あなたの携帯番号を管理する通信会社の窓口スタッフを騙すだけで成立します。

攻撃者は事前に収集した個人情報——名前、生年月日、住所、過去の漏洩データベースに含まれる回答——を使って本人になりすまし、「機種変更したので番号を移してほしい」と連絡します。スタッフが応じた瞬間、あなたの電話番号は攻撃者のSIMカードに切り替わります。

その後の流れは単純です。取引所の「パスワードを忘れた」機能を使い、SMS認証コードを受け取り、ログインして出金する。高度な技術的知識がなくても、この一連の操作だけでビットコインが消えます。

FBIが記録した2,600万ドルの損失

米国のFBIは、SIMスワップ攻撃による損失として約2,600万ドルの被害を記録しています。件数で見れば決して多くはありませんが、1件あたりの被害額が大きいのが特徴です。標的にされるのは、取引所に多額の暗号資産を保有していることが把握されている人物です。

英国での1,055%増という急増は、手口の普及を示しています。かつては専門的な知識が必要だったものが、今はサービスとして売買されています。攻撃をアウトソースできる時代になった結果、標的の裾野も広がりました。

日本にいるから関係ない、とは言えません。通信会社に電話をかけるだけの手口に、国境はほとんど障壁になりません。日本の大手通信事業者においても、本人確認の強度にはばらつきがあります。

セキュリティを「強化」するほど攻撃面が広がる逆説

ここに見落とされがちな構造があります。取引所でSMS認証を設定した人は、ビットコインの管理に「電話番号」という新たな依存先を追加したことになります。

取引所のパスワードが強固であっても、携帯会社の本人確認プロセスが脆弱であれば意味がありません。つまりセキュリティの強度は、最も弱いリンクによって決まります。堅牢なパスワードを設定しながら、自分では制御できない第三者——通信会社のスタッフ——に依存する状態を作っているのです。

認証アプリ（Google AuthenticatorやAuthyなど）はSMSより安全ですが、それでも取引所という「アクセスを管理する第三者」が存在することに変わりはありません。サポートへの問い合わせを通じた迂回路が存在する限り、完全に塞ぐことはできません。

セルフカストディに電話番号は必要ない

ハードウォレットでビットコインを管理する場合、電話番号は最初から登場しません。

秘密鍵は物理的なデバイスの中に生成され、シードフレーズという24語（または12語）の単語列として紙や金属プレートに記録されます。この鍵がある限り、通信会社を騙す攻撃は効果を持ちません。携帯会社のスタッフがどう動こうとも、ハードウォレットに格納された秘密鍵は影響を受けないからです。

取引所にビットコインを置いている限り、「何らかの認証情報を突破されるリスク」は消えません。それがパスワードであれ、SMS認証であれ、認証アプリであれ、取引所のサポート対応プロセスであれ、すべて攻撃者が迂回を試みる経路になりえます。セルフカストディはこの問題を根本から変えます。第三者を介さず、自分だけが秘密鍵を持つ構造では、外部のシステムを騙しても意味がないのです。

今すぐ確認すべき2つのこと

取引所に保有しているビットコインの量が大きいほど、標的にされる動機も高まります。英国での急増は、攻撃者が成功率と利益率を計算して行動していることを示しています。

SMS認証を使っている取引所があれば、まず認証アプリへの切り替えを検討してください。そのうえで、長期保有を前提にしているビットコインはハードウォレットへの移管を優先すべき時期に来ています。

「まだ大丈夫」という感覚が最も危険です。SIMスワップは気づいたときにはすでに遅い。電話が突然つながらなくなったその瞬間が、すでに攻撃の途中である可能性があります。電話番号への依存を断ち切ることが、最初の一歩です。

※本記事は一般的な情報提供を目的としており、投資助言ではありません。