国内で「SIM乗っ取り」の被害事例が出て、SMS認証利用時のリスクが高まっています。

個人情報漏えい事件

2024.6.7

プライバシーザムライ

プライバシーザムライ中康二です（オプティマ・ソリューションズ株式会社代表取締役）。ソニー出身。プライバシーマークとISMSの専門家。個人情報保護／情報セキュリティに関して、最新の情報を皆様にわかりやすく発信しています。

皆さんこんにちは。
プライバシーザムライ中康二です。

「SIM乗っ取り」「SIMハイジャック」「SIMスワップ」などとも言われますが、国内でも被害事例が出ているようです。それに伴って、多くのサービスで採用されているSMS認証について、リスクが高まってきてますので、情報共有したいと思います。

（１）序論＝SIMとは何か？

SIMとは、「Subscriber Identity Module（契約者・識別・モジュール）」の頭文字を略したもので、カードの形をしていることから一般的には「SIMカード」と呼ばれています。携帯電話やスマホを契約した際に、携帯電話会社が用意したSIMを端末内に装着することで、契約者を識別し、通信が可能になるものです。

電話を発信した時に、このSIMがあるから自分が自分であることが認識され、ただしく通話ができる訳です。受信時も同じです。SMS（ショートメッセージ）の送受信の際にも同様にSIMで識別されて自分のところにメッセージが届くという次第です。

（２）手口＝運転免許証やマイナンバーカードを偽造してSIM再発行する

国内で発生しているSIM乗っ取りの手法は、運転免許証やマイナンバーカードなどの本人確認書類を偽造し、その人になりすまして携帯電話会社の店頭に行き、「SIMが壊れたので再発行してほしい」などと言って、新しいSIMを入手するというものです。そうすると、本来の自分が使っているSIMは「古いSIM」ということになり、何も通信できなくなり、乗っ取られるという訳です。

こういうことは従来はほとんど起こらないと考えられていました。なぜなら
① 犯人は自分の顔写真をつけた本人確認書類を偽造して使用する必要があるから、すぐに犯人は捕まってしまう。
② SIMを乗っ取ったところで、電話が掛けられなくなるなど、嫌がらせ程度にしかならない。
③ 乗っ取られた人は自分のスマホが使えなくなって気づくから、すぐにバレる。
つまり、犯人は捕まるリスクがある割には得られるものは少なかったのです。

しかし、近年、スマホの普及に伴って、オンラインバンキングを始めとする各種のクラウドサービスで、セキュリティを高めるための二要素認証としてSMS（ショートメッセージ）を使うことが広がってきています。スマホを乗っ取れば、二要素認証を突破できるということで、②の価値が上がってきたわけです。

また、最近よく聞く「闇バイト」の一つとして、自分の顔で本人確認書類を作成してもらって、他人になりすまして携帯電話会社の店頭に行くことを行うという、軽いノリで犯罪を犯してしまう人が出てきているため、①もクリアされてきているようです。

そして③は相変わらず同じなのですが、犯人は予め入手した本人の個人情報を利用して、短時間のうちにお金を引き出すなど目的の行為を終わらせるため、被害が大きくなっているということのようです。

ちなみに、SIMを乗っ取ると言っても、スマホの中身を全部盗み出すわけでも、スマホを自由に操作するわけでもありません。単にそれ以降の通信を乗っ取るだけです。犯人グループたちはこのSIM乗っ取りを実行する前に、本人の住所、氏名、電話番号、金融機関のID、パスワードなどを予め入手していて、その情報を元に本人確認書類を作成し、SIMを乗っ取ることで、最後の関門のSMS認証を突破して、金融機関に不正にログインして送金などを行うようです。

また、過去の海外事例では、SIMスワップにより有名人のAppleアカウントが乗っ取られて、プライベートフォトなどが流出したケースもあります。クラウドサービスの場合には、SIM乗っ取りを入り口にして、パスワードや登録電話番号、メールアドレスなどを変えてしまうと、なかなかその権利を取り戻すのに苦労するかもしれません。（Facebookページ乗っ取りの記事参照のこと）

さらに、最近、同じ番号のまま他の携帯電話会社に乗り換えする（MNPといいます）際に、本人確認書類をスマホの画像だけで認識し、手続きを進めている場合があると思います。かつ、最近のMNPは乗り換える先の携帯電話会社だけにコンタクトすれば引き抜くことができるため、自分の知らない携帯電話会社に番号がそのままMNPされて、しかもeSIM（SIMカードではなく、電子的に認識する仕組み）を利用した場合には犯人は店頭に行く必要もないため、もしかするとそういうパターンでのSIM乗っ取りも今後出てくる可能性があるのではないかと考えています。

（３）対処法＝SMS認証には頼らない。できるだけアプリのワンタイムパスワード認証を利用する

さて、どのように対応すればいいのでしょうか？

多くのクラウドサービスでは、SMS認証とアプリによるワンタイムパスワード認証を選べる場合があります。そのような場合には、アプリによるワンタイムパスワード認証を選択するようにしましょう。

しかし金融機関などでは、SMS認証しか選べない場合もあります。そのような場合には、その手前の「ID」「パスワード」「氏名」「電話番号」などの個人情報が漏えいしないように基本的なセキュリティ対策を徹底するしかないと思います。

① 複数のサービスで同じパスワードを使用しない（使いまわししない）
② 金融機関の4桁暗証番号も金融機関ごとに変更する。スポーツジムのロッカーなどでそれを使わない。
③ 怪しいメールをクリックしない。
④ 怪しいWebサイトでカード番号を打ち込まない。
⑤ ウィルス対策ソフトやOSをいつも最新版にする。

など、日常的に高いセキュリティ意識を保ち、不正な攻撃に敏感になることが重要だと思います。

そして、万が一携帯電話が急に「圏外」になるようなことが起こったら、もしかしたらSIMスワップされたのかもしれないと考えて、早目に携帯電話会社に問い合わせる、オンラインバンキングの残高を確認する、パスワードを変更するなどの対処を取るようにしてください。

この内容が皆さんにとって何かの参考になればと思います。

今後も新しい情報が入りましたら、皆様にシェアいたしますね。

プライバシーザムライ
中康二