« NIST SP 1800-32 (ドラフト)産業用IoTの保護:分散型エネルギー源のサイバーセキュリティ(初期ドラフト) | Main | 欧州データ保護委員会 (EDPB) が「ソーシャルメディアユーザーのターゲティングに関するガイドライン」の最新版の公表をソーシャルメディアで行っていますね(^^) »

2021.04.23

警察庁から「犯罪インフラ化するSMS認証代行への対策について」が公表されていますね

こんにちは、丸山満彦です。

警察庁サイバー犯罪対策プロジェクトから、「犯罪インフラ化するSMS認証代行への対策について」が公表されています。

SMS認証代行は以前から問題となっていて、県警レベルでは注意喚起等が行われていましたね。。。

社会的には、携帯電話番号を本人確認の手段とするべきかという問題がまずはあるのだろうと思います。個人的には、銀行口座、携帯電話番号は本人との紐付けを確実にすることを明確にし、かつ本人確認のための基準も明確にするのが良いのだろうかなぁと思っています。

 

 

警察庁 - 警察庁サイバー犯罪対策プロジェクト

・2021.04.22 [PDF] 犯罪インフラ化するSMS認証代行への対策について

 


広報資料
令和3年4月22日
情報技術犯罪対策課


犯罪インフラ化するSMS認証代行への対策について

1 課題
(1) SMS認証とその機能
○ 「SMS認証」とは、ショートメッセージサービス(SMS)で利用者の番号に認証コードを通知し、当該コードを用いて認証する方式。
○ 通常は、利用者が自ら用いる本人確認済の携帯電話の番号に当該認証コードが通知されることから、金融機関等においては、ID・パスワードに
よる認証に加え、SMS認証を利用者に実施させる「二経路認証」を採用。なりすまし等による不正認証を防止。

(2) SMS認証代行とその問題点
○ 「SMS認証代行」は、通信事業者とSMS機能付データ通信に係る契約をし、利用者に当該契約に係る番号を提供。また、当該番号に通知され
た認証コードを利用者に代わって受領し利用者に提供。
○ 利用者は、SMS認証代行から番号・認証コードの提供を受けることにより、なりすまし等による不正アカウントの設定が可能。
○ 通信事業者の中には、本人確認をすることなくSMS認証代行と契約するものがおり、警察捜査における事後追跡性の確保に支障。

2 サイバーセキュリティ政策会議及びIT業界団体の提言
(1) 令和2年度サイバーセキュリティ政策会議の提言
報告書において、通信事業者による上記契約時の本人確認の徹底や犯罪インフラを提供する悪質事業者の摘発強化を提言。

(2) IT業界団体の提言
(一社)日本IT団体連盟は、SMSを用いた二経路認証の抜け道になっているとして上記契約時の本人確認の徹底を提言。

3 警察における対策
(1) 通信事業者の業界団体に対する要請
令和3年1月、総務省と連携して、(一社)テレコムサービス協会MVNO委員会に対し、契約時の確実な本人確認を要請。同要請を受け、同月、加盟事業者の自主的な取組として、SMS機能付データ通信契約に係る本人確認を実施することを申し合わせ。

(2) 取締りの強化
都道府県警察に対し、SMS認証代行を含む犯罪インフラに関し、法令に違反する悪質事業者に対する取締りの強化を指示。


 

1_20210423160801

 

■ 関連報道

● 日本経済産業新聞

・2021.04.22 SMS認証代行、取り締まり強化 犯罪目的防止で警察庁

 

過去分

● 埼玉新聞

・2020.06.09 女逮捕「小遣い稼ぎ」…SMS認証代行で57万円稼いだか 横行すると大きな脅威、県警が警鐘

 電子決済アプリのアカウント登録のためにショートメッセージサービス(SMS)認証を代行したとして、県警サイバー犯罪対策課と岩槻署は8日、私電磁的記録不正作出・同供用の疑いで、神奈川県秦野市堀西、無職の女(40)を逮捕した。

 逮捕容疑は、昨年7月19日、札幌市豊平区の無職の男(29)=電子計算機使用詐欺罪で公判中=に、スマートフォンの決済アプリ「PayPay」のアカウント作成に必要な電話番号とSMS認証コードを提供し、不正にアカウントを作成させた疑い。容疑を認め、「小遣い稼ぎだった」と供述しているという。

 同課によると、女は会員制交流サイト(SNS)に「有償でSMS認証代行を請け負う」とメッセージを公開。依頼してきた男に、あらかじめ契約していた格安スマホの電話番号と認証コードを教え、代金1100円を受け取っていた。

 県警は女が同年6~12月、少なくとも570回以上の認証代行を繰り返し、1回1000~1500円の代金で計約57万円を得ていたとみて調べる。

 同課はSMS認証代行が横行することで、「依頼者による匿名性を利用した犯罪が懸念される」と指摘。「匿名化されたアカウントが犯罪に利用されれば、安全安心なサイバー空間、現実空間の大きな脅威となる」と警鐘を鳴らしている。

 

|

« NIST SP 1800-32 (ドラフト)産業用IoTの保護:分散型エネルギー源のサイバーセキュリティ(初期ドラフト) | Main | 欧州データ保護委員会 (EDPB) が「ソーシャルメディアユーザーのターゲティングに関するガイドライン」の最新版の公表をソーシャルメディアで行っていますね(^^) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« NIST SP 1800-32 (ドラフト)産業用IoTの保護:分散型エネルギー源のサイバーセキュリティ(初期ドラフト) | Main | 欧州データ保護委員会 (EDPB) が「ソーシャルメディアユーザーのターゲティングに関するガイドライン」の最新版の公表をソーシャルメディアで行っていますね(^^) »