「SIMファーム」はスパムの疫病。ニューヨーク州の巨大SIMファームが米国のインフラを脅かしていると連邦政府が発表

最近ニューヨーク市エリアで広大なSIMファームが発見され、サイバー犯罪者が大量のスパム電話やテキストメッセージを送りつけるために使われるこれらの施設が、犯罪だけでなく重要インフラの大規模な混乱にも使用される可能性があるほど大規模に成長したことが明らかになった。米国政府は、この施設が犯罪だけでなく重要インフラの大規模な混乱にも使用される可能性があると警告している。

火曜日の朝、米国シークレットサービスは、「ニューヨーク州三州地域」にまたがる複数の施設を発見したと発表しました。これらの施設には10万枚以上のSIMカードが「SIMサーバー」と呼ばれる装置に保管されており、これらのSIMカードを同時に管理・運用することが可能です。このSIMファームのインフラ規模の大きさ、そして2023年のクリスマス頃に米国議会議員を狙った「スワッティング」攻撃で悪用されたことが報じられたことから、シークレットサービスは、この活動は少なくとも部分的には解体されたものの、携帯電話サービスへの深刻な妨害攻撃の脅威となる可能性があると警告しています。

シークレットサービスのニューヨーク支局の特別捜査官マット・マックール氏によると、単一の作戦で管理されていたSIMカードの数を考えれば、「携帯電話の基地局を機能停止させ、実質的にニューヨーク市内の携帯電話ネットワークを停止させる」ことができた可能性があるという。

「このネットワークは携帯電話基地局を制圧するのに利用される可能性があります」と、シークレットサービスの捜査に詳しい法執行機関の関係者は述べた。この関係者は、現在進行中の捜査の機密性を考慮し、匿名を条件に語った。「このネットワークの妨害能力を例に挙げると、1分間に約3000万件のテキストメッセージを送信できる可能性があります。つまり、約12分で米国全土に匿名でメッセージを送信できるということです。」

情報筋はWIREDに対し、シークレットサービスは、SIMファームが組織犯罪、国家レベルの脅威アクター、および法執行機関に知られているその他の個人によって使用されていたことを確認したと語った。

シークレットサービスの高度脅威阻止ユニット（ATI）は、SIMファームで発見された機器を押収しました。シークレットサービスによると、これらの施設はすべてマンハッタンのミッドタウンから35マイル（約56キロメートル）以内に位置し、膨大なSIMカードの通話記録とテキストメッセージの記録を精査しながら捜査を継続しています。法執行機関の情報筋によると、逮捕者は出ていません。シークレットサービスは押収発表の中で、今週マンハッタンで開催される国連総会を標的としたSIMカード作戦の可能性を阻止するために行動を起こしたと述べましたが、作戦の目的がそのようなものであったことを示す証拠は示していません。

「これらの装置がニューヨークの通信に重大な混乱を引き起こすタイミング、場所、および可能性を考慮して、当局は迅速にこのネットワークを混乱させる行動をとった」と当局は声明で述べている。

SIMファームに関する一部の報道では、ロシアや中国などの外国が作成し、スパイ活動に利用したのではないかと推測されているが、サイバーセキュリティ企業Unit 221bで情報部門を率い、SIMファームに関する複数の調査を実施してきたベン・クーン氏は、この作戦の中心は詐欺などの営利目的のサイバー犯罪であった可能性の方がはるかに高いと述べている。「携帯電話サービスが中断され、ネットワークがトラフィックを処理できないほど混雑する可能性はあります」とクーン氏は言う。「私の直感では、何らかの詐欺行為が関与していたと感じています」

今回のケースでは、シークレットサービスの捜査に関するCNNの報道によると、シークレットサービスがニューヨーク地域のSIMファームを追跡するようになったのは、2023年のクリスマス前後にマージョリー・テイラー・グリーン下院議員とリック・スコット上院議員を標的とした2件のスワッティング事件で、このSIMファームが使用されたことが原因だ。これらの事件は、ルーマニア人の男性2人、トーマス・サボとネマニャ・ラドヴァノヴィッチに関係していると思われる。2人は、アメリカの連続スワッター、アラン・フィリオン（通称トルスワッツ）と行動を共にしていた。

3人はその後スワッティング関連の罪で有罪判決を受けたが、シークレットサービスのマクール氏は声明の中で、同機関の捜査は「今春、米国政府高官に向けた通信関連の差し迫った脅迫」を受けて行われたものだと指摘した。

SIMファームという現象は、今回のニューヨーク周辺で確認されたような規模であっても、決して新しいものではありません。サイバー犯罪者は長年にわたり、集中管理された大量のSIMカードを、スパム、スワッティング、偽アカウントの作成、ソーシャルメディアや広告キャンペーンへの不正な関与など、あらゆる目的に利用してきました。SIMカードは通常、いわゆるSIMボックスに格納されており、一度に100枚以上のSIMカードを制御できます。そして、これらのSIMカードはサーバーに接続され、サーバーはそれぞれ数千枚のSIMカードを制御できます。

SIMファームは「個人ユーザーでは不可能な速度と量で、大量のメッセージを送信できる」と、シークレットサービスの捜査の機密性を考慮し匿名を条件に取材に応じた通信業界関係者はWIREDに語った。「こうしたファームを支える技術は非常に柔軟性が高い。SIMをローテーションさせて検出システムを回避したり、トラフィックを地理的に隠蔽したり、アカウントを本物のユーザーからのものであるように見せかけたりできるのだ。」

通信業界関係者は、シークレットサービスが公開したSIMサーバーとボックスの画像は、この仕掛けの背後に「非常に組織化された」犯罪組織の存在を示唆していると付け加えた。「これは、この背後に膨大な情報と膨大な資金が投入されていることを意味する」と関係者は付け加えた。

シークレットサービスが発見したSIMファームは、ユニット221bのクーン氏によると、米国で把握している規模では最大ではないという。しかし、これほど狭い地域に集中しているのはこれが初めてだという。SIMボックスは米国では違法であり、シークレットサービスの捜査で発見された数百個のSIMボックスは米国に密輸されたものに違いないとクーン氏は指摘する。彼が関与したある事件では、SIMボックスはオーディオアンプに偽装されて中国から輸入されていたという。

明るい部屋に置かれた「清潔で整然としたラック」に機器が並べられている様子は、このオペレーションが組織的でプロフェッショナルなものであることを示していると、通信・サイバーセキュリティ企業Eneaの技術担当副社長、キャサル・マクデイド氏は述べている。シークレットサービスが公開した写真には、複数の通信機器ラックが整然と並べられ、個々の機器に番号とラベルが付けられ、床に敷かれたケーブルはテープで保護されている様子が写っている。マクデイド氏によると、各SIMボックスには約256個のポートと関連モデムが搭載されているようだ。「これは、よく見かける多くのSIMファームよりもプロフェッショナルに見えます」とマクデイド氏は言う。

しかし、マクデイド氏は、ウクライナで発見された同様の活動を追跡してきたと指摘する。その中には、火曜日にシークレットサービスが明らかにしたものと同等、あるいはそれ以上の規模のものもある。ここ数年、ウクライナの法執行機関は、ロシアの関与が疑われるSIMファームで使用されている数万枚のSIMカードを発見してきた。2023年のある事例では、約15万枚のSIMカードが発見されたと報告されている。これらのSIMファームは、偽のソーシャルメディアアカウントを運営し、偽情報やプロパガンダを拡散するために利用されてきた。

シークレットサービスが公開した写真には、通信サービスMobileXのSIMカード数百枚のパッケージが写っている。MobileXのCEO兼創設者であるピーター・アダートン氏は声明で、「連邦捜査でMobileXのSIMカードが他のプロバイダーのSIMカードと共に回収されたという最近の報告を承知しています」と述べている。「当社のプラットフォームは使いやすく費用対効果の高い設計となっていますが、残念ながら、その特性が悪質な業者を惹きつけることもあります」。アダートン氏はさらに、MobileXは法執行機関と協力する準備ができており、不審な行為を阻止するためのシステムも整備していると付け加えた。

SIMファームは通常、スワッティングなどの破壊的な脅威よりも無差別詐欺に利用されるため、今回のSIMファームが米国当局者をスワッティングするという異例の用途に利用されたことが、その崩壊の原因となった可能性が高いと、ユニット221bの主任研究員であるアリソン・ニクソン氏は指摘する。「スワッティングは詐欺師でもあるため、犯罪プロキシサービスの利用方法を熟知しています。犯罪プロキシインフラの所有者は、サイバー犯罪の逮捕率が低いという考えに基づいて多額の投資を行っています」とニクソン氏は語る。「しかし、サイバー犯罪が蔓延すると必ずテロにつながるという事実を彼らは予期していません。そのため、連邦政府がこれを初めて目にした時には、すでに大規模な作戦だったのです。」