- 他人になりすましてSIMカードを再発行させ、電話番号ごとスマホを乗っ取る犯罪手口のこと!SIMハイジャックとも呼ばれる
- フィッシング詐欺で盗んだ個人情報と偽造身分証を使い、携帯ショップの店員を騙してSMS認証を突破し、ネットバンクから不正送金する仕組みだ
- 知っておくことでスマホが突然圏外になった異変に即座に対処でき、SMS認証から認証アプリへの切り替えで被害を未然に防げる
この4コマで描かれた被害は、シムスワップ詐欺の典型的なパターンそのものです。第一段階はフィッシング。犯罪者は銀行やカード会社を装ったSMSを送信し、偽サイトに誘導して氏名・住所・生年月日・ネットバンキングのIDとパスワードを一気に抜き取ります。主人公が何気なくURLを開いてしまった瞬間、すでに攻撃の下準備は完了していたわけです。
第二段階が本題のSIMスワップ。盗んだ個人情報をもとに偽造した運転免許証やマイナンバーカードを作成し、被害者の地元から離れた別の携帯ショップでSIMの再発行を申請します。2024年には東京都議会議員や八尾市議会議員が同様の手口で被害に遭い、店舗でのマイナンバーカードの目視確認だけでは偽造を見抜けなかった実態が明らかになりました。
被害者が異変に気づくのは、スマホが圏外になってからです。しかし多くの人は端末の故障だと判断して数時間放置してしまう。その間に犯罪者はSMS認証を突破し、ネットバンクにログインしてわずか15分で口座から数百万円を送金するケースも報告されています。
この被害を防ぐ武器は2つあります。まず、二段階認証をSMSから認証アプリや生体認証に切り替えること。そして、スマホが突然圏外になったら故障ではなく犯罪を疑い、直ちに携帯電話会社へ連絡すること。フィッシングでURLを開かなければSIMスワップは成立しないという事実を、この4コマは鮮明に突きつけています。
【深掘り】これだけは知っておけ
シムスワップ(SIMスワップ)とは、犯罪者が被害者になりすまして携帯電話会社にSIMカードの再発行を要求し、電話番号を乗っ取る攻撃手法です。SIMカードには契約者の電話番号や識別情報が記録されており、再発行された瞬間に元のSIMは無効化されます。被害者のスマホは突然圏外になり、通話もSMSもできなくなるのが特徴的な兆候でしょう。
犯罪者はまずフィッシング詐欺で被害者の氏名・住所・生年月日・ネットバンキングのIDとパスワードを盗み出します。次に運転免許証やマイナンバーカードを偽造し、携帯ショップの窓口で本人確認を突破してSIMを再発行させるという流れです。日本では2022年に被害が急増し、同年の被害総額は約4億円に達しました。2024年には東京都議会議員や八尾市議会議員が相次いでSIMスワップの被害に遭い、偽造マイナンバーカードによる本人確認の脆弱さが浮き彫りになっています。
典型的なフレーズ・文脈
すみません、スマホを落としてしまって…。SIMカードを再発行してもらえますか? これ、免許証です。
犯罪者が偽造した身分証を持って携帯ショップの窓口を訪れる際のセリフです。被害者の個人情報を事前にフィッシングで入手し、偽造免許証やマイナンバーカードで本人確認を突破します。
SIMスワップと呼ばれる手口で、被害者の口座から約1,000万円が不正に送金されていたことがわかりました。
テレビニュースがSIMスワップ事件を報じる際の典型的な表現です。2022年には神戸市の男性がMNP制度を悪用され、インターネットバンキングから998万円を不正に出金される被害が発生しました。
ネットバンキングの認証はSMSではなく、生体認証や認証アプリに切り替えてください。それだけで被害リスクは大幅に下がります。
セキュリティ専門家や警察がSIMスワップ対策として推奨する助言です。欧州刑事警察機構(Europol)もSMS認証から認証アプリへの切り替えを公式に推奨しています。
【まとめ】3つのポイント
- スマホは財布そのもの、SIMはその鍵:SIMカードを奪われるということは、銀行口座・電子マネー・SNSアカウントへの侵入口をすべて渡すことと同じ。鍵を複製されたら家ごと持っていかれる
- フィッシングがすべての起点:SIMスワップは単体では成立しない。事前にフィッシング詐欺で個人情報とログイン情報を盗まれているからこそ成立する。不審なメールやSMSのリンクを絶対に開かないことが最大の防御線
- 圏外になったら故障ではなく犯罪を疑え:スマホが突然通信不能になったら、携帯電話会社に即連絡してSIMの再発行がないか確認する。合わせて、銀行口座のパスワード変更と認証方法をSMSから認証アプリや生体認証に切り替えることが具体的な自衛手段
よくある質問
-
Qシムスワップに遭ったかどうか、どうやって気づけますか?
-
A
最も典型的な兆候は、スマホが突然圏外になり電話・SMS・モバイルデータ通信がすべて使えなくなることです。Wi-Fiには接続できるのに携帯回線だけ繋がらない場合はSIMスワップの可能性があります。すぐに携帯電話会社へ連絡し、SIMの再発行が行われていないか確認してください。
-
Qシムスワップ被害に遭わないために今すぐできる対策は?
-
A
まず、ネットバンキングやSNSの二段階認証をSMS認証からGoogle Authenticatorなどの認証アプリに変更しましょう。次に、不審なメールやSMSのリンクを絶対にクリックしない習慣をつけること。さらに、SNSで本名・住所・生年月日・電話番号をむやみに公開しないことも重要な対策になります。
-
Qシムスワップで不正送金されたお金は戻ってきますか?
-
A
被害の回復は非常に難しいのが現実です。犯罪グループは盗んだ資金を暗号資産に変換したり、複数の口座を経由させたりして追跡を困難にします。ただし、預金者保護法に基づき、銀行に被害を速やかに届け出れば補償を受けられる場合もあるため、気づいた時点で銀行と警察(#9110)の両方に直ちに連絡することが重要です。
-
Qシムスワップとフィッシング詐欺との違いは何ですか?
-
A
フィッシング詐欺は偽のメールやサイトで個人情報やパスワードを盗む手口であり、SIMスワップはその盗んだ情報を使って携帯電話の番号を乗っ取る手口です。つまりフィッシングは情報を盗む段階、SIMスワップは盗んだ情報で実際にお金を奪う段階という関係にあり、SIMスワップはフィッシングの先にある二段目の攻撃と理解するとわかりやすいでしょう。
【出典】参考URL
https://eset-info.canon-its.jp/malware_info/special/detail/230706.html :SIMスワップの定義・手口・対策の包括的解説(ESET)
https://www.alsok.co.jp/person/recommend/4001/ :日本国内の被害額推移と本人確認強化の経緯(ALSOK)
https://ja.wikipedia.org/wiki/SIM%E3%82%B9%E3%83%AF%E3%83%83%E3%83%97%E8%A9%90%E6%AC%BA :日本の被害事例・逮捕事例の時系列データ
https://business.ntt-east.co.jp/bizdrive/column/post_326.html :2024年の議員被害と携帯キャリアの対策強化(NTT東日本)
https://sp.m.jiji.com/article/show/3185841 :偽造免許証による4億5000万円超の不正送金事件の報道(時事通信)
コメント