本人認証の方法として、「SMSでワンタイムパスワードが送信される」という仕組みは良く使われています。
しかし、「そのSMSで送られたワンタイムパスワードが盗まれてしまう」という攻撃が存在します。
それが「SIMスワップ詐欺」です。
このSIMスワップ詐欺、海外では数年前から有名な攻撃だったのですが、日本では被害が発生する可能性は低いと考えられてきました。
しかし、最近、日本でも、このSIMスワップ詐欺に注意が必要な状況が生まれ、関係者は警戒を強めています。
今日は、このSIMスワップ詐欺についてご紹介させて頂きます。
※SIMスワップ詐欺は、「SIMスワッピング」「SIMスプリッティング」「SIMジャッキング」「ポートアウト詐欺」など、様々な名前でも呼ばれています。
SIMスワップ詐欺の基本的な仕組み
まず、SIMスワップ詐欺の基本的な仕組みについて。
SIMスワップ詐欺では、以下のようなステップで攻撃される事により、ワンタイムパスワードが盗まれる事になります。
1.攻撃者は、攻撃対象者の情報(生年月日など)を何らかの方法で収集する。知人経由で情報収集する場合もあれば、SNSなどで公開されている情報を収集する場合、マルウェアやフィッシングを使って盗み出す場合もある。
2.攻撃者は、新しい(利用中ではない)SIMカードを用意する。
3.攻撃者は、攻撃対象者のフリをして電話会社に連絡し、「今、使っているSIMカードが使えなくなった」と伝える(使えなくなった理由としては、盗難や紛失など)。そして、「新しいSIMカードが用意できているので、そのSIMカードで契約を引き継ぎたい」という内容を電話会社に伝える。
4.通常、電話会社は、連絡してきているのが本人である事を確認する為に、いくつかの質問をするが、攻撃者は、事前に情報収集した内容を使って、その質問に対応する(攻撃対象者本人のフリをする)。
5.電話会社が本人からの連絡であると信じてしまった場合、攻撃対象者が現在使っているSIMカードは無効化され、攻撃者が用意した新しいSIMカードに機能(電話番号)が引き継がれてしまう。
6.攻撃対象者に対して送られるSMSは、攻撃者だけが確認できる状態となる。
※上記の他に、「免許証などの身分証明書を偽造し、攻撃者側の人間が攻撃対象者になりすましてSIMカードの再発行手続きをする事で、攻撃対象者が現在使っているSIMカードを無効化し、攻撃者が新しいSIMカードを手に入れる」という方法も確認されています。
※SIMカードというのは、端末に差し込む事で、その電話番号が使えるようになる小さなカードの事です。
※SMSとは、電話番号を使って相手にメッセージが送れる仕組みの事です。
以上のステップで、攻撃対象者に届くSMSは、本来の持ち主のSIMカードではなく、攻撃者が持っているSIMカードが差し込まれている端末に届く事になります。
結果、攻撃者は、攻撃対象者に届くワンタイムパスワードを読めてしまうようになるのです。
もちろん、電話会社も、本人確認の為の様々な質問を用意しています。
しかし、海外の事例では、事前に集めた情報を使う事で、かなりの確率で攻撃者は本人確認を突破してしまうようです。
※日本でも、免許証などの身分証明書が精巧に偽造されており、電話会社の本人確認が通ってしまった事例が報告されています。
SIMスワップ詐欺が日本で広がらなかった理由
さて、このSIMスワップ詐欺がこれまで日本で広がらなかった理由、皆さまもお解りになったのではないでしょうか。
このSIMスワップ詐欺を成立させる為には、
「電話会社に連絡して、攻撃者の手元にあるSIMカードに攻撃対象者の電話契約を移す」
という作業が必要になります。
しかし、日本においては、「手元にあるSIMカードに契約を移す」という作業が一般的ではありませんでした。
SIMカードを紛失した場合でも、電話会社に連絡して、新しくSIMカードを発行して貰うのが一般的でした。
この為、攻撃者にとっては、手元にあるSIMカードを利用する事は出来ず、「新しく発行されるSIMカードを受け取る」というステップが必要であり、攻撃を成功させるハードルが高かったのです。
結果、SIMスワップ詐欺は日本では成功しづらかったのです。
※ただし、最近はSIMカードの再発行手続きを利用する方法により、日本でもSIMスワップ詐欺が行われるようになったと報じられています。
SIMスワップ詐欺が日本でも注目されるようになった理由
では、なぜ、今、日本でも、このSIMスワップ詐欺が注目されているのでしょうか。
いくつかの理由があるのですが、特に注目すべきなのは、「eSIM」という仕組みの普及です。
ご存じの方も多いと思いますが、この「eSIM」という仕組みでは、物理的なSIMカードが存在しません。
電話契約を申し込むと、スマホやタブレットなどの端末に対して、擬似的にSIMカードの機能が発行されます。
この為、原則、窓口に行ったり、郵便を受け取ったりしなくても電話回線が開通してしまうのです。
これにより、攻撃者が日本でSIMスワップ詐欺を行う上での高いハードルであった、「SIMカードを受け取る」というステップがなくなったのです。
結果、攻撃者が、攻撃対象者本人のフリをして、手元にある端末に契約を移転させる事が容易になってしまったのです。
日本でのSIMスワップ詐欺の被害については公式な発表がないようですが、最近、日本では、SIM契約・手続きに関するルールを厳しくする電話会社の動きが相次いでいます。
この為、実際に被害事例が出たかどうかは別として、「SIMスワップ詐欺を疑わせるような事例が、日本でも既に発生したのではないか?」と推測する声も聞かれます。
※残念ながら、日本でもSIMスワップ詐欺の被害が報告され始めました。急に自分のスマホの携帯が通じなくなり、電話会社に問い合わせをしている間に、自分の銀行口座から資金が盗まれる(他に送金される)、といった被害が発生しているようです。
SIMスワップ詐欺への対策①:自分のSIMカードの有効性確認
最後に、このSIMスワップ詐欺を防ぐ対策について。
まず、「定期的に、自分のSIMカードが有効である事を確認する」という事が、対策となります。
SIMスワップ詐欺が成功していた場合、自分の手元にあるSIMカードは無効化されてしまいます。
この為、「自分のSIMカードが生きている(そのSIMカードで通信が出来ている)」という事は「SIMスワップ詐欺にあっていない」という事の証明になります。
注意しないといけないのは、通常、WiFi環境で接続している端末の場合、SIMカードが無効化されていても、通信が出来てしまう為、気付くのが遅れがちになります。
定期的にSMSを受信したり(SMSはSIMカードが無効化されていると受信できない)、WiFiをオフにして通信できるか試してみたりすると良いでしょう。
もし、SIMスワップ詐欺にあっている事が解った場合には、すぐに電話会社に連絡する事で、被害を最低限に抑える事が出来ます。
SIMスワップ詐欺への対策②:電話会社の本人確認への対応
また、自分が契約している電話会社の本人確認の方法を確認しておき、「自分以外が、電話会社の本人確認をすり抜ける事が出来ないようにしておく」という対策も有効です。
攻撃者が、自分のフリをして電話会社を騙せない限り、SIMスワップ詐欺は成立しないからです。
ただし、これは電話会社側の本人確認の手順による部分が大きいので、出来る事は限られます。
電話会社側が本人確認に関する情報を公開している場合には、それを確認し、何か出来る事がないか検討する事は有用でしょう(パスワードを変更する、電話会社から来る連絡が受け取れるようにしておく、など)。
もっとも、日本の大手電話会社に関して言えば、前述の通り、既にSIMスワップ詐欺の事を把握して本人確認は厳しくしているようです。
この為、日本の大手電話会社のユーザーがSIMスワップ詐欺の被害に合う可能性は低いようにも思います。
ただ、気をつけて頂きたいのは、「本人確認が甘い電話会社があるかもしれない」という点です。
昨今は格安SIMと呼ばれる会社(MVNO)のSIMカードを利用している人も多いでしょう。
もしかすると、そのような会社の中には、本人確認が甘い会社があるかもしれません。
もし、第三者に知られてしまう情報だけで本人確認が通ってしまうような電話会社のSIMカードを利用している事が解った場合には、電話会社の変更を検討した方が良いかもしれません。
SIMスワップ詐欺への対策③:二次的な被害の予防
なお、「SIMスワップ詐欺が成功しても、被害を最小限に抑える」という対策についてもご紹介しておきます。
どれだけ対策をしても、このSIMスワップ詐欺が成功するかどうかは、「電話会社を攻撃者がだませるかどうか」で決まる所があるので、「絶対に大丈夫」と安心する事は出来ません。
しかし、SIMスワップ詐欺自体は防げなくても、二次的な被害を防ぐ事は出来ます。
すなわち、「SMSに送られるワンタイムパスワードが盗まれた(第三者に見られた)としても、自分が契約しているサービスが不正利用されないようにしておく」という対策は有効です。
具体的には、「サービスを利用する為には、SMSへのワンタイムパスワード以外の認証が必要なように設定しておく」など(それが可能かどうかは、個々のサービスによります)。
なお、海外では、かなり以前から「SMSのワンタイムパスワードによる認証は止めるべきだ」という意見が出ています。
今後は、日本でもSMSによるワンタイムパスワード以外の認証が広がっていくのかもしれません。
以上、SIMスワップ詐欺についてのご紹介でした。
※SMSカード再発行を利用する攻撃手法と日本で発生した被害について追記。(2022/12/16追記)