全世界で使われている電話網プロトコルSS7（共通線信号No.7）については、以前から脆弱性が知られており、かつて米議会でもTed Lieu議員が追及し、さらに同議員のアカウントを（もちろん本人の同意のもと）使った実験をテレビ番組「60 Minutes」が扱ったこともありました。

そして、この脆弱性を利用した銀行アカウントのハッキングが「実際に」起こっていることが判明しました。

「2要素認証で守られた銀行アカウント、SS7プロトコルの悪用で漏洩」

arstechnica.com

独Süddeutsche Zeitung紙の記事が最初に報じた模様です。

これは、予めマルウェアでパスワードを盗んだ状態からスタートします。パスワードで銀行側にログインし、送金を指示すると、2要素認証が求められるのですが、そこでSS7の脆弱性をついてSMSを横取りし、送金を完了するというわけです。ちなみに従来は被害者の携帯電話のSIMカードを複製してSMSを盗み出していたのだとか。

SMSを使った2要素認証は、近年強く推奨されてきましたが、SS7の脆弱性を含めて問題点があることも知られています。

mokake.hatenablog.com

米NISTの案では「セキュアな認証用アプリ」「生体認証」が挙げられていますが、その他にもYubiKeyなどのハードウェアの利用も考慮に値するでしょう。