【速報】SECがハッカーによるSIMスワップ攻撃を認める

米国証券取引委員会は、ハッカーが同機関の携帯電話を乗っ取り、そのXアカウントを侵犯し、ビットコインETFについて投稿したことを認めた。この摘発は、同委員会が2023年7月以降、マルチファクタ認証を無効にしていたことが原因であるとされる。SEC（米国証券取引委員会）は、携帯電話をSIMスワップ攻撃で乗っ取られたことを認め、これによってそのアカウントに関連付けられた携帯電話の制御権を奪われた。これにより外部者は1月9日に誤ってツイートし、同委員会がETF（上場投資信託）を承認したと報じたが、実際はその翌日のことであった。「電話番号へのアクセスは、SECのシステムではなく、電信キャリア経由で発生した。」という発言が月曜日の一文に記載されている。「SECのスタッフは、不正行為者がSECのシステム、データ、デバイス、または他のソーシャルメディアアカウントにアクセスしたとみなす証拠を特定していない」と同委員会の広報担当者は述べた。SECは、その電信キャリアが誰であるかを明らかにしていない。同庁は2023年7月にアカウント上のマルチファクタ認証を「アカウントにアクセスする問題」により無効化していたと広報担当者は語った。その保護は後に再びオンになった。この恥ずかしいセキュリティの過ちは、投資家に適切なセキュリティを確保し、金融アカウントでマルチファクタ認証を維持するよう助言してきた機関からのものであり、SECの@SECGovアカウントでの投稿を、機関がETFの承認に署名したと多くの人が信じるように導いた。この偽のニュースは、簡単にハッキングされていることが確認される前に市場を動かしました。」同庁の広報担当者は、「電話番号の制御権を取得した後、不正行為者は@SECGovアカウントのパスワードをリセットした。」と語った。「他のことを言えば、警察当局が現在、不正行為者がどのようにしてアカウントのSIMを変更させたのか、そして当事者がどの電話番号がアカウントに関連付けられているかを知っていたのかを調査している。」ハックの直後、SECは真剣にビットコインETFを承認するために動いた。Xは、2週間前にSECハックについて同様の見解を述べた。「妥協はXのシステムの侵害ではなく、代わりに、未識別の個人が第三者を介して@SECGovアカウントに関連づけられた電話番号の制御を取得したことが原因である。」SECは、連邦捜査局、国土安全保障省、商品先物取引委員会、および司法省を含む法執行機関や監督機関と共に依然として調査を行っている。SIMスワップ攻撃は長年にわたり暗号において一般的だが、攻撃者は通常、被害者の電話番号へのアクセスを得ることを目的としている。昨年、Friend.Techのユーザーが対象となり、攻撃者が彼らのイーサリアム保有を持ち去った。