- SIMスワップとは、攻撃者が偽の身分証明書を使って被害者の電話番号を自分のSIMカードに移し替え、SMS認証を突破してアカウントや口座を乗っ取る攻撃のことだ。
- SMS認証というセキュリティ対策そのものを逆手に取り、電話番号が乗っ取られた瞬間にワンタイムパスワードが攻撃者に届き、銀行・SNS・暗号資産の不正アクセスが一気に可能になってしまう。
- 仕組みを知っておけば、SMS認証よりも認証アプリや物理キーを使うという選択ができ、SIMスワップによる被害を大幅に軽減できる。
【深掘り】これだけは知っておけ
SIMスワップ(SIMハイジャックとも呼ばれる)は、攻撃者が被害者の個人情報をフィッシング等で事前収集し、偽造した身分証明書を携帯会社の窓口に持参して「紛失した」などと偽ってSIMカードを再発行させる攻撃です。これにより被害者の電話番号が攻撃者のSIMに移り、被害者のスマートフォンは圏外になります。攻撃者はその番号に届くSMSを使ってSMS二段階認証を突破し、銀行口座・ネットバンキング・暗号資産取引所・SNSへの不正ログインが可能になります。2023年5月には3ヶ月で25人の口座から合計9,000万円以上を不正送金した事例が摘発されており、日本でも被害が顕在化しています。2024年にはある携帯電話会社が偽造マイナンバーカードを受け入れてSIMを発行してしまった事例を受け、本人確認の二重チェック強化を表明しました。
SIMスワップの入口は主にフィッシング詐欺や個人情報の漏洩です。氏名・住所・生年月日・電話番号・キャリアなどの情報が攻撃者に揃ったとき、偽造書類の作成と窓口でのなりすましが行われます。攻撃者は突然スマートフォンが圏外になるというサインを事前に被害者に察知させないよう、週末や夜間に実行することが多いです。
利用しているサービスでSMS認証しか選択肢がない場合は、キャリアへのSIMロックや追加のPINコード設定(キャリアによって対応可能)を検討してください。また、銀行やキャリアのアプリで不審なアカウント変更通知を受け取れる設定にしておくことも、早期発見につながります。フィッシング詐欺に引っかからず個人情報を渡さないことが、SIMスワップを防ぐ最初の防衛線です。
SIMスワップの手口の流れ
| フェーズ | 攻撃者の行動 | 被害者への影響 |
|---|---|---|
| 情報収集 | フィッシング等で個人情報を入手 | 気づかない |
| SIM奪取 | 偽造書類でキャリア窓口に行きSIM再発行 | 突然スマートフォンが圏外になる |
| 認証突破・不正利用 | SMS認証を使って各サービスに侵入 | 口座不正送金・SNS乗っ取り・暗号資産窃取 |
典型的なフレーズ・文脈
(キャリアショップ窓口で)こちらスマートフォンを紛失してしまいまして、SIMカードを再発行していただけますか。免許証はこちらです(偽造書類を提示)。番号はそのままで新しいSIMに移してください。
偽造した身分証明書を携帯ショップに持参し、被害者の電話番号を自分のSIMカードに移させるSIMスワップの典型的な手口です。
専門家は、SIMスワップ対策としてSMS認証よりも電話番号に依存しない認証アプリやハードウェアキーの使用を推奨しています。スマートフォンが突然圏外になった場合は直ちにキャリアに連絡するよう呼びかけています。
SIMスワップによる被害を解説する報道番組や、セキュリティ専門家の注意喚起を想定した表現です。
SMS認証から認証アプリへの切り替えがSIMスワップへの最善策です。突然圏外になったらすぐキャリアに連絡。被害に遭ったら銀行と警察に即連絡してください。
セキュリティ担当者が、SIMスワップ対策の具体的な行動を助言する場面を想定しています。
困ったときの相談窓口
SIMスワップの被害が疑われる場合は、以下に速やかに相談・連絡してください。
| 窓口名 | 電話番号 | 受付時間 | 対応内容 |
|---|---|---|---|
| 利用しているキャリアのカスタマーサポート | 各キャリアの公式番号 | 24時間(緊急回線あり) | SIMの利用停止・不審な操作の確認 |
| 警察相談専用電話 | #9110 | 平日 8:30〜17:15(各都道府県で異なる) | 不正アクセス・詐欺被害の相談 |
| 消費者ホットライン | 188 | 地域の窓口に準ずる | 不正送金・悪質商法の相談 |
【まとめ】3つのポイント
- 正体はSMS認証ごと乗っ取る攻撃:SMS認証という安全策そのものが突破されます。認証アプリへの切り替えが本質的な対策です。
- 突然の圏外が最初のサイン:スマートフォンが突然圏外になったら、SIMスワップを疑ってすぐキャリアに連絡してください。
- フィッシング対策が入口の防衛:個人情報を守ることがSIMスワップを防ぐ最初の防衛線です。
よくある質問
-
QSMS認証を使っているサービスはすべてSIMスワップのリスクがありますか?
-
A
SMS認証を使うサービスはSIMスワップのリスクがあります。銀行のワンタイムパスワード、SNSのSMS確認コード、暗号資産取引所のSMS認証はすべて対象です。可能であれば認証アプリ(Google Authenticatorなど)やハードウェアキー(YubiKeyなど)に切り替えてください。これらは電話番号に紐づかないため、SIMスワップの影響を受けません。
-
Qスマートフォンが突然圏外になりました。SIMスワップですか?
-
A
可能性はありますが、電波状況の問題やキャリアの障害の可能性もあります。まずキャリアのカスタマーサポートに電話して、SIMが正常かどうかを確認してください。SIMスワップが行われていた場合は即時停止を要請します。同時に、銀行・取引所・SNSなどのログイン履歴を別の端末から確認し、不審な操作があれば各サービスに連絡してパスワードを変更してください。
-
QSIMスワップはキャリアの問題ですか?ユーザーには防げませんか?
-
A
キャリアの本人確認強化が根本対策ですが、ユーザーにもできることがあります。SMS認証への依存をやめて認証アプリを使う、個人情報をフィッシング詐欺から守る、キャリアのマイページでSIM変更の通知設定をする、といった対策です。攻撃者がSIMスワップを実行するには被害者の個人情報が必要なため、情報漏洩を防ぐことが入口の防衛になります。
-
QSIMスワップとスミッシングの違いは何ですか?
-
A
攻撃の方向が違います。スミッシングはSMSで偽のリンクを送り、クリックさせて偽サイトで情報を入力させます。SIMスワップは携帯会社への物理的なアプローチで電話番号そのものを奪い、SMS認証を突破します。前者はユーザーがリンクをタップする行動が必要ですが、後者はユーザーが何もしなくても被害が起きる点で防御がより困難です。SIMスワップの準備段階でスミッシングが個人情報収集に使われることもあります。
この用語と一緒に知っておきたい用語
| 用語 | この記事との関連 |
|---|---|
| シビル攻撃 | シビル攻撃とは、攻撃者がP2Pネットワーク上に大量の偽IDや偽ノードを作成し、多数決のような仕組みを支配して不正な影響力を行使する攻撃のことだ。 |
| ゼロデイ攻撃 | ゼロデイ攻撃とは、ソフトウェアの脆弱性が発見されてから修正パッチが配布される前の「0日目」に行われる攻撃で、防御側が準備できていない状態を突く。 |
| サンドイッチ攻撃 | サンドイッチ攻撃とは、被害者の取引の「前」と「後」の両方に攻撃者のボットが取引を挿入し、両側から利益を吸い取るDEX取引への高度な攻撃のことだ。 |
| 2要素認証回避 | 2要素認証回避(2FAバイパス)とは、パスワードに加えてワンタイムパスワードなどを求める二要素認証を、中間者攻撃やSIMスワップ、マルウェアで突破する攻撃手法のことだ。 |
この手口が実際に使われた事件
| 事件 | この記事との関連 |
|---|---|
| ホテル従業員のカード不正利用 | ホテルのインサイダー詐欺とは、 コンシェルジュやフロントスタッフなどの従業員が、業務上アクセスできる顧客のクレジットカード情報を盗み不正利用する 内部犯行である |
| ケビン・ミトニック | ケビン・ミトニックは ソーシャルエンジニアリング (人間の心理を利用した情報窃取)を武器に、DEC、パシフィック・ベル、モトローラ、ノキアなど大企業のシステムに侵入した伝説のハッカーである |
| オレオレ詐欺のリーダー格 | オレオレ詐欺の組織は 主犯格を頂点としたピラミッド構造 で運営される。主犯格は犯罪の実行に直接関わらないため捕まりにくく、暴力団関係者であることも多い |
コメント