他人になりすましSIMカードを乗っ取る「SIMスワップ」。海外で流行っていた詐欺が日本でも発生している。ネットバンクからの不正送金や不正決済などを行うSIMスワップの手口や事例、対策方法を解説する。
他人になりすましSIMカードを乗っ取る「SIMスワップ」。海外で流行っていた詐欺が日本でも発生している。乗っ取った後は、SMSを利用した二段階認証を突破してパスワード変更を行い、ネットバンクからの不正送金や不正決済などを行うSIMスワップの手口や事例、対策方法を解説する。
SIMスワップとは
SIMスワップは、攻撃者が相手のSIMを乗っ取った後、そのSIMで受信できるSMSを使った二段階認証を突破し、オンラインバンキングなどに不正ログインを行う攻撃である。
別名「SIMスワップ(詐欺・攻撃)、SIMハイジャック(攻撃)」とも呼ばれる。
SIMスワップの典型的な海外の手口は、以下の流れで実行される。
- 攻撃者は攻撃対象の個人情報(メールアドレスや住所、携帯電話会社)などを事前に調査し、身分証明書を偽造する。
- 攻撃者は携帯電話会社に連絡し、「SIMを紛失した。困るので、手持ちの別のSIMで紛失したSIMの電話が受けられるように、電話番号を入れ替えて欲しい」と連絡を行う。このように、手持ちのSIMと、攻撃対象のSIMの電話番号を入れ替えるので、SIMスワップと名付けられた。
- 携帯電話会社の担当者は、攻撃者に対して身分証明書などの詳細な個人情報提示を依頼する。それに対し攻撃者は、偽造の身分証明書を提示する。
- 本人確認後、携帯電話会社はSIMの電話番号を入れ替える。これにより、攻撃者は攻撃対象のSMSを受信することが可能になる。
- 攻撃者は、攻撃対象の金融などのアカウントに対してログインを行い、SMSによる二要素認証を突破することが可能となる。被害者(元の持ち主)からのアクセスを防ぐため、直ちにアカウントのパスワードを変更する。
SIMスワップの手口
このような手順でSIMスワップは行われる。攻撃対象のアカウント情報などは、事前にフィッシングなどで入手している。ただ、手持ちのSIMと、相手のSIMの電話番号を入れ替えることは、おそらく日本では行われていないので、日本においてはSIMスワップと言うより、SIMハイジャックと呼ぶ方が適切であるかもしれない。
SIMスワップの手法
先述のSIMの入れ替え方法は、日本では一般的ではないと思われる。日本では、どのような手口でSIMが乗っ取られる可能性があるかを挙げる。
- SIMのサイズ変更を依頼する
攻撃対象が標準SIMやMicro SIMを使っている場合、これをnano SIMに変更したいと偽り、契約者になりすまして携帯電話ショップに来店する方法が考えられる。ただ現状ではnano SIMがかなり普及しているので、サイズ変更を口実にした再発行は難しいかもしれない。 - SIMを紛失したと偽る
携帯電話ショップに来店し、契約者になりすましてSIMを紛失したと偽り、SIMの再発行を要求する。 - 携帯電話会社を切り替える
MNP(携帯番号ポータビリティ制度)を悪用し、被害者の携帯電話会社を解約、番号を引き継いで別の携帯電話会社と契約を行う。この手法は、海外ではPort-Out詐欺とも呼ばれている。Port-Out とは、番号ポータビリティにおける携帯電話会社転出のことだ。日本においても、この手法による被害が確認されている*1。
*1 神戸新聞 | さっきまで使えてたスマホ、通話音が…しない 勝手に解約されたかも 被害男性の証言
海外におけるSIMスワップの被害状況
2022年2月に公表されたFBIの報告*2によると、2018年1月~2020年12月にかけて、SIMスワップの被害件数は320件、被害額1,200万ドル(17億円相当)であるのに対し、2021年は被害件数1,611件、被害額6,800万ドル(97億円相当)と大幅に増加している。
SIMスワップは、身分証明書の偽造や事前にフィッシングなどでアカウントなどの資格情報を窃取することが必要で、かなりの手間がかかるため、組織的な犯罪として行われているようだ。
2020年3月Europol(欧州刑事警察機構)は、数百万ドルを盗んだ2つのSIMスワップ犯罪グループを解散に追い込んだ。また2021年の初めに解体されたSIMスワップ犯罪ネットワークも、米国の有名人を含む数千人の被害者から1億ドル(143億円相当)の暗号資産(仮想通貨)を盗んだと考えられている*3。
*2 FBI: Public Service Announcement
*3 FBI warns of criminals escalating SIM swap attacks to steal millions
SIMスワップを防ぐには
SIMスワップを防ぐ方法として、Europol(欧州刑事警察機構)は以下の内容を推奨している*4。
- デバイスのソフトウェアを最新の状態に保つ。不審なメールにあるリンクのクリックや、添付ファイルのダウンロードを行わない(マルウェアやフィッシングによる個人情報などの漏えいを防ぐため)
- 不審なメールに返信したり、個人情報を要求する発信者と電話でやり取りしたりしない
- オンラインで、個人情報をむやみに公開しない
- 二要素認証はSMSではなく、認証アプリやワンタイムパスワード用のトークンデバイスを使用する
- 可能であれば、電話番号を機密性の高いアカウントに紐づけない
(銀行に登録する電話番号は本人確認に使われる可能性があるため、携帯電話ではなく固定電話にする) - SIMにPINを設定する(SIMの盗難による悪用を防止)
これに加えて、下記を行うことも大切だ。
- 携帯電話会社のサービスにログイン時に、通知をメールで受け取るように設定を行う
(勝手にMNPで解約されることに気づきやすくなる) - SIMが無効になっていないかを確認する
同じ番号のSIMは存在できず、再発行された場合は、今までのSIMが無効になり通信ができなくなる。このような状況になったら直ちに携帯電話会社に連絡し、一旦SIMを停止するように依頼すべきだ。
*4 Europol Dismantles SIM Swap Criminal Groups That Stole Millions
詐欺に引っかからないためには、まずどのような詐欺が行われているかを知ることが重要である。このような手口が存在することを理解し、できる対策を取るべきである。
