SIMスワップ詐欺の被害者がT-Mobileを訴えた。
「SIMスワップ詐欺」という手口で45万ドル相当のビットコインを騙し取られた男性がT-Mobileを訴えた。SIMスワップ詐欺とは何か。そして犯罪はどのように行われたのか。
訴えたのはカリフォルニア州在住のカルビン・チェン氏。同氏はIterative Capitalという投資会社を通じてビットコインの取引を行っていた。
取引の指示や連絡はソーシャルメディア「Telegram」のグループチャットを通じて行っていた。Iterative側の担当者はウェイ・リン氏。
Iterativeの共同創業者兼代表者であるブランドン・ブキャナン氏はT-Mobileの顧客。
2020年5月、ブキャナン氏の電話番号が何者かに乗っ取られた。犯人がブキャナン氏に成り済ましてT-Mobileのカスタマーサービスに連絡し、SIMカードを別のSIMカードに切り替えたいと申し出た。
本来ならT-Mobileはここで厳格な本人確認をして、もし申し出ているのがブキャナン氏本人であると確認できなければSIMカードの切り替えには応じないところだったが、どうしたわけか本人確認が成功してしまい、SIMカードの切り替えができてしまった。
その結果、ブキャナン氏のSIMカード情報が犯人のSIMカードに移行し、犯人が電話番号ごとブキャナン氏に成り済ますことが可能になった。
5月17日、犯人が成り済ました「ブキャナン氏」からチェン氏に連絡が来た。保有しているビットコインをプレミアム付きで買い取ってもいいが興味はあるかと。
チェン氏はブキャナン氏がIterative Capitalの代表者だとわかっていたのと、「ブキャナン氏」がリン氏の名前も出したので、すっかり信用してしまい、指定されたウォレットに15ビットコインを送金。
その後チェン氏に代金が振り込まれるはずだったが振り込まれない。それどころかTelegram上の取引や連絡の記録が消去されてしまった。
5月19日、ブキャナン氏がSIMスワップ詐欺によりアカウントが乗っ取られたことを関係顧客に伝え、ニューヨーク警察とFBIにも連絡。捜査が開始された。
捜査は進行中であるが、並行してブキャナン氏は、チェン氏の代わりにT-Mobileに連絡し、本人確認を正しく行わなかったのはT-Mobileの落ち度だとして弁償を求めたが、T-Mobileは対応せず。
それで直接の被害者であるチェン氏がT-Mobileを訴えたというわけだ。
本人確認がどのように行われたのかが1つのキーポイントになりそうだ。最近はSMS認証が多いが、電話番号を乗っ取られてしまう「SIMスワップ詐欺」だとSMS認証は意味がない。
特にビットコインなどの仮想通貨を大量に保有している人が狙われやすいとのことだ。
