犯罪者はあなたになりすまし、あなたの電話番号を別の**に移して盗むことができます。その後、お客様の銀行口座やその他の安全なサービスにアクセスするためのセキュリティコードが**SMSで送信されます。

ポートアウト詐欺は何ですか？

"アウトバウンド詐欺 "は、**業界全体**の大きな問題である。この詐欺は、犯人があなたを装って、あなたの現在の電話番号を別の**オペレーターに転送するものです。このプロセスは「ポーティング」と呼ばれ、新しい携帯電話会社に乗り換える際、電話番号を維持できるようにするためのものです。あなたの電話番号へのメールや電話は、あなたのものではなく、彼らの**に送られることになります。

銀行口座を含む多くのオンライン口座では、二要素認証の方法として電話番号が使用されているため、これは大きな問題です。最初に**にパスワードを送らないとログインさせてくれない。しかし、移植詐欺が発生した後、犯人は**にそのセキュリティコードを受け取ることになります。彼らはそれを使って、あなたの金融口座やその他の機密サービスにアクセスすることができます。

もちろん、この種の攻撃は、攻撃者がすでに他のアカウントにアクセスしている場合に最も危険です（たとえば、オンラインバンキングのパスワードや電子メールアカウントへのアクセスをすでに入手している場合など）。しかし、このような状況でお客様を保護するために、攻撃者がSMSベースのセキュアメッセージングを迂回することを可能にします。

この攻撃は、現在使用しているSIMカードから攻撃者のSIMカードに電話番号を移動させるため、SIMカードハイジャックとも呼ばれています。

ポートアウト詐欺の手口は？

この詐欺は、IDセフトと共通するところが多い。誰かがあなたの個人情報を盗み、それを偽装して、あなたの**キャリアにあなたの電話番号を新しい**に移動させる。キャリアは、本人確認のために個人情報の提供を求めますが、通常は国民保険番号の提供で十分です。完璧な世界であれば、社会保障番号は非公開となるはずですが、これまで見てきたように、多くの大企業の情報漏洩事件で、多くのアメリカ人の社会保障番号が漏洩しています。

もし相手があなたの**キャリアになりすますことに成功すれば、切り替えが行われ、あなたに送られたテキストメッセージやあなたがかけるつもりの通話はすべて相手の**キャリアに転送されることになります。お客様の電話番号は同社の**に関連付けられ、お客様の現在の**は電話、SMS、データサービスを提供しなくなります。

これはまさにソーシャル・エンジニアリング攻撃の一種と言えるでしょう。他人になりすまして会社に電話をかけ、ソーシャルエンジニアリングを使って、本来持っていないはずのものを手に入れる人がいる。他の企業と同様、事業者は正規の顧客にとってできるだけシンプルであることを望んでいるため、そのセキュリティ対策はすべての攻撃者を防御できるほど厳重ではないかもしれません。

港湾出稼ぎ詐欺を阻止する方法

お使いの**通信事業者が安全なPINコードを設定していることを確認することをお勧めします。このPINは、電話番号のポーティングに必要なものです。以前は、多くの**キャリアが、国民保険番号の下4桁を暗証番号として使用していたため、ポートアウト詐欺が簡単にできていました。

• AT&T：オンラインで「ワイヤレスパスワード」またはPINを設定していることを確認してください。これはオンラインアカウントにログインする際に使用する標準のパスワードとは異なり、4桁から8桁の数字である必要があります。また、オンラインで「エクストラセキュリティ」を有効にすると、より多くのケースで無線LANのパスワードが必要になる場合があります。
• スプリント：PINはmysprintウェブサイト上でオンラインで提供されます。アカウント番号に加えて、このPINは電話番号を移植する際に本人確認を行うために使用されます。標準的なオンライン・ユーザー・アカウントのパスワードとは独立したものです。
• T-Mobile: T-Mobile ****部門に電話し、"Port Verification "を追加するよう依頼してください。これは、番号をポートする際に新たに提供する必要がある6桁から15桁のパスワードです。理由は分かりませんが、t-Mobileではオンラインで行うことができず、電話での問い合わせを強要されます。
• Verizon：4桁の暗証番号を設定します。 まだ設定していない場合や覚えていない場合は、オンライン、My Verizonアプリ、または****に電話して変更することができます。また、My Verizonオンラインアカウントに安全なパスワードを設定しておくと、電話番号をポートする際に使用することができます。

他の**キャリアをご利用の場合は、各キャリアのウェブサイトをご確認いただくか、****までお問い合わせください。

残念ながら、これらのセキュリティコードを回避する方法は存在します。例えば、多くのオペレーターの場合、オンラインアカウントにアクセスできる攻撃者は暗証番号を変更することができます。誰かが十分な個人情報を知っていれば、**オペレーターのすべてを伝え、「パスワードを忘れた」と言い、どうにかリセットできたとしても、私たちは驚きではありません。オペレーターは、パスワードを忘れた人がパスワードをリセットする方法を用意する必要があります。しかし、移植から身を守るにはそれしかありません。

モバイルネットワークは、セキュリティの強化に取り組んでいます。米国の大手4社**、AT&T、スプリント、T-モバイル、ベライゾンは、ポーティング詐欺などの不正行為をより困難にするため、「モバイル認証タスクフォース」と呼ばれるプロジェクトに共同で取り組んでいます。

セキュリティの手段として電話番号に依存することは避けてください

電話番号ポート詐欺は、SMSベースの2段階セキュリティを可能な限り避けるべき理由の一つです。私たちは皆、自分の電話番号は完全に自分の管理下にあり、自分の電話機にしか関係しないと思いたいものです。実際、電話番号に依存している場合、電話番号を保護し、攻撃者が盗むのを阻止するために、**キャリアの***に依存している場合、これは真実ではありません。

セキュリティコードをテキストメッセージで送信するのではなく、Authyアプリなどでコードを生成し、他の二要素セキュリティの方法を使用することをお勧めします。これらのアプリケーションは、あなたの**にコードを生成するため、犯人は実際にあなたの**を持ち、セキュリティコードを取得するためにそれをロック解除する必要があります。

残念ながら、多くのオンラインサービスでは、**番号SMS認証の利用が必須であり、代替手段を提供していません。また、代替手段を提供しているサービスでも、万が一に備えて、バックアップ方法として電話番号にコードを送信できるようにしている場合もあります。SMSコードを避けて通ることはできません。

関連：二要素認証にSMSを使うべきではない理由（と、代わりに使うべきもの）

人生何事もそうですが、完全に自分の身を守ることは不可能です。あなたにできることは、攻撃者があなたのデバイスとパスワードを保護するのを難しくすること、あなたの**アカウント**で安全な暗証番号を確認すること、重要なサービスでSMS認証を使用しないようにすること、です。

写真提供：Foto.Touch/Blindsホームページ。