SIMカードを再発行して携帯電話番号を乗っ取る「SIMハイジャック」による詐欺が話題となっている(写真:KJ / PIXTA)

スマートフォンの中に入っているICチップ、「SIMカード」には電話番号などの契約者情報が記録されている。

携帯電話の機種を変更するときぐらいにしか目にする機会はないが、SIMカードをスマホに入れることで端末と契約者情報が結び付き、音声通話やデータ通信ができるようになるというのは、誰もが何となく知っていることだろう。


サイバー攻撃やセキュリティーの最新動向など、その他の関連記事はこちら

このSIMカードを本人になりすまして再発行し、携帯電話番号を乗っ取り、新たに契約したスマホから被害者の個人情報を不正に利用する「SIMハイジャック」(SIMスワップ)が話題となっている。

今に始まったことではないが、2024年5月に著名人がSIMハイジャックの被害をSNSに投稿して広まり、偽造マイナンバーカードが利用されたこともあって議論に拍車をかけた。

ずさんな本人確認手法が問題

SIMハイジャックは、2022年ごろに「SIMスワップ」として問題になった犯罪だ。神戸新聞は同年10月に、神戸市内の男性(60)が突然携帯電話が使えなくなり、銀行口座から1000万円の現金が引き出された事件を報じている。

携帯電話が使えなくなったのは、犯人が運転免許証を偽造して被害者になりすまし、SIMカードを再発行して携帯を新たに契約したからだ。口座からの不正送金は、乗っ取った携帯電話を使ってインターネットバンキングを利用したとみられている。

実は2022年は、このようなSIMスワップ事件が多発していて、同年9月には総務省と警察庁が大手携帯電話事業者に対策を要請している。

ちなみに2022年ごろまで、SIMスワップやポートアウト詐欺(電話番号転出)という用語が使われていたが、ここ数年はSIMハイジャックという言葉が多く使われている。用語が変わった経緯は不明だが、同一のサイバー犯罪・詐欺を指す用語であり、ここでは当時の表現にかかわらずSIMハイジャックを使う。

SIMハイジャックは、海外でも問題になっている。2018年にはボストン在住の大学生ハッカーがSIMハイジャックによって500万ドル以上の仮想通貨(現、暗号資産)を盗んだ罪で逮捕された。また、アメリカの投資家がSIMハイジャックで暗号通過資産2400万ドルの被害を受け、通信事業者のAT&Tに対して2億4000万ドルの訴訟を起こしている。

いずれも、本人確認の方法に問題があり、これを突破できるなら運転免許証でも紙の保険証でも名刺でも同じことが起こる。

警察庁の発表では、国内のSIMハイジャック事件は、フィッシング詐欺などによってなりすましに必要な情報を得ていると分析している。海外の事例では、SNSの書き込みを調べたり、さまざまな方法で各種の偽造IDが使われている。つまり攻撃の本質は、いかに本人になりすますかという点にあるのだ。

SIMハイジャックとは? その仕組みと手順

SIMハイジャックとは、本人になりすまし、機種変更などの契約手続きを行うことによって、その電話番号が書き込まれたSIMカードを第三者(犯罪者)が入手することで成立する。


持ち主のあずかり知らないところで、自分名義のSIMが作られ、不正な送金やクレジットカード決済、暗号資産や個人情報などを盗み出すサイバー攻撃ということができる。

スマホ本体が変わっても、SIMに書き込まれた電話番号が同じであれば、すべての通信は電話番号と紐づいた契約者のものとして扱われる。つまり、本人になりすましてSIMの再発行や機種変更を行えば、スマホを乗っ取ることができるというわけだ。

インターネットバンキングやオンライン決済などでは、認証コードを携帯電話のSMSで送ってくることがある。通常は、自分のスマホに送られてくるので、覚えのないログインや決済はここで気づくことができる。

しかし、電話番号はすでに乗っ取られているので、ワンタイムパスワードやパスコードは犯人のスマホに送られることになる。

この状態で標的のメールアドレスがわかれば(なりすましに成功している時点で、氏名、生年月日、住所などは把握しているはず)、インターネットバンキングや各種サービスのログイン、パスワードを含む設定変更が可能になってしまう。

Apple IDやGoogleアカウントにログインできれば、ブラウザなどに保存されたSNSのログイン状態を引き継げることにもなる。生年月日などがわかっているので、誕生日や住所、車のナンバーなどを利用した弱いパスワードは破られる可能性もある。

どうやって本人になりすますのか

なりすましは、相手になりすましを悟られなければ成功する。対面で本人の家族や知り合いをだますのは簡単ではないが、そうでなければ対面、オンラインともにハードルは下がる。

一般的な本人確認では、氏名と生年月日を証明するものがあれば本人とみなすことができる。これに住所や電話番号などが加われば個人はほぼ識別でき、顔写真が入った証明書(免許証、パスポート、マイナンバーカードなど)であれば、さらに精度は上がる。

この認証が成立するのは、本人が提示する証明書が本物であること、書かれている情報が本当に本人の情報であることが前提となる。しかし、証明書や鍵など所有物による証明は、持ち主と証明書の組み合わせが正しいかどうかは保証できない。偽物や偽称、不正に得た証明書に対して無力である。

SIMハイジャックにおいては、偽造された免許証、保険証、マイナンバーカードで本人確認をパスする。対面の本人確認でも、写真を自分のものに差し替えれば初対面の人なら真贋のチェックはできない。

オンラインでは、証明書のICチップを使うことで、偽造カードや書類によるなりすましを見破ることができる。免許証やパスポート、マイナンバーカードにはICチップが内蔵されている。

ICチップには、そのカードが本物であるという鍵情報が書き込まれている。そして、このICチップ情報の変更、偽装は簡単ではない。マイナンバーカードはとくに偽造対策が何重にもほどこされており、書き込まれた情報を含めた偽造はほぼ不可能といっていい。

したがって、オンラインでの本人確認は、対応したリーダーにICチップを読み込ませれば、偽造されたものかどうかがすぐにわかる。偽造カードの作成は簡単だが、内部のICチップの情報まで本人のものと一致させることはほぼ不可能だからだ。

政府がスマートフォンの契約時に、マイナンバーカードを使う場合、店員の目視チェック(印刷情報のみの確認)ではなくカードリーダーでICチップを読み取る方法に限定しようとしているのはこのためだ。

どのような対策方法があるのか

SIMハイジャックの対策に、これといった決定打はない。複数の対策や予防措置を組み合わせるしかないだろう。

前提として、攻撃者側は、標的の氏名・生年月日・住所といった基本的な情報(各種証明書に記載がある基本情報)を取得する必要がある。簡単ではないが、フィッシング詐欺によってこれらの情報を取得することができる。SNSの書き込みを調べても入手可能だ。したがって、一般的なフィッシング詐欺対策(関連記事)やSNSなどでの公開情報の管理が、1つの対策になる。

なお、保険証、免許証やマイナンバーカードなどの偽造は、攻撃者側にとって何の障害にもならない。紙幣レベルの印刷でなければ、すかし、特殊インク、ホログラムシールなど、見た目にそっくりなカードはいくらでも作ることができる。

攻撃者が、SIMハイジャックが成功したあと、インターネットバンキングや各種サービスを利用するとき、ログインアラートをメールで受け取る設定(二要素認証、多要素認証など)をしていると、被害に気付くことができる。予防にはならないが、早期発見で被害を止めることができる可能性がある。

二要素認証などの認証コードをメールやSMSでの送信ではなく、認証アプリで受け取るようにすることも有効な対策の1つだ。認証アプリに対応するサービスは限られるが、SMSで受け取る設定より安全となる。

一方、企業契約のスマートフォンは、SIMハイジャックされる可能性は低い。契約内容や変更手順なども個人の場合と異なるので、免許証などでは法人になりすますことはできない。

可能性は低いが、例えば、通信事業者やショップ(の従業員)が攻撃者から報酬を提示されたら、SIMハイジャックに加担してしまうかもしれない。前述のように巨額が動くSIMハイジャックが起きている海外では、個人契約でも法人契約でもこの問題は起きうると指摘する専門家もいる。

(中尾 真二 : ITジャーナリスト・ライター)