SIMスワップとは？SIMスワップ詐欺のリスクと対策を簡単に解説

SIMスワップ詐欺とは、スマートフォンのSIMカードに入っている情報を悪用するスマホ乗っ取り型の詐欺で、犯罪者はターゲットにフィッシングやビッシングを仕掛けたり、犯罪グループから情報を買い取ったり、ソーシャルエンジニアリング攻撃やインターネットストーキングで情報を収集したりして、入手したターゲットの個人情報を悪用して免許証を偽造し、本人確認を突破します。SIMスワップ詐欺は、別名「SIMハイジャック」や「SIM分割」とも呼ばれています。

SIMスワップ詐欺は近年、世界中で被害事例が報告されており、アメリカでは2021年にFBIが警鐘を鳴らすほど被害が急増しています。

最近では、日本でも被害が報告されています。日本では、主犯格がSNSなどで「高収入」「高額報酬」「高額即金」「副業」などというキーワードを使って闇バイトの求人を出し、闇バイトで雇われた人が携帯電話ショップでSIMを再発行するケースが多く報告されています。闇バイトは、大金と引き換えに犯罪行為を行うアルバイトのことで、このような仕事に応募すれば、犯罪組織の手先として利用され、犯罪者になってしまいます。

世界中で被害が拡大しているSIMスワップ詐欺ですが、どのような仕組みなのでしょうか？

ここからは、SIMスワップ詐欺の仕組みや、具体的な流れについて説明します。

1. 犯罪者がターゲットの個人情報を入手・悪用する：サイバー犯罪者は、ターゲットにサイバー攻撃を仕掛けて個人情報を取得し、その個人情報を悪用して運転免許証やなど身分証明書を偽造します。
2. スマホの契約者になりすまし携帯ショップでSIMカードを再発行する：犯罪者は盗んだ個人情報を使ってスマートフォンの契約者になりすまし、携帯電話ショップでSIMカードを紛失したと偽り、新しいSIMカードの再発行を依頼します。SIMカードが再発行されると、ターゲットが使用しているSIMカードは失効し、携帯電話が使えなくなります。
3. 再発行したSIMカードを別のスマホに挿入し犯罪者の口座に送金する：再発行したSIMカードを犯罪者が持っているスマートフォンに挿入して、インターネットバンキングから送信されるSMSなどの2段階認証を突破し、被害者の銀行口座から犯罪者の口座へ不正送金します。

大金が振り込まれた場合、銀行は通常、振込時に口座名義人に電話をかけますが、問い合わせの時点で犯人が電話に出て振込を許可できるため、銀行は本人確認のしようがありません。

SIMスワップ詐欺は、再発行したSIMカードを自分の端末に挿すだけで、通話記録やメッセージ履歴など、被害者のアカウント上にある全てのデータにアクセスできるようになります。

最近は、セキュリティ対策のために各アカウントに2段階認証を設定している場合があり、その多くは電話番号によるSMSで送信される認証です。オンラインバンキングにログインする際に電話番号を使った2段階認証を設定していたとしても、犯罪者は被害者の電話番号を自由に使用できるので簡単に2段階認証を介してログインできてしまいます。

仮に銀行やSNSのアカウントのIDやパスワードがわからない場合でも、再設定をリクエストすると、2段階認証としてアカウントにアクセスするためのリンクまたはワンタイムパスコードが電話番号のSMS宛にテキストで送信され、アクセスできるようになります。

SIMスワップ詐欺は、被害者が気付かないうちに実行されることがほとんどです。そして、SIMカードが再発行されてしまうと元のSIMカードは使用できなくなるので、電話やSMSの受発信ができません。回線に関しては切断された状態が続いて通信ができなくなり、Wi-Fiに繋げない限りは「圏外」が表示されたままになります。

このような状態が続いた場合は、SIMスワップ詐欺の被害に遭っている可能性が高いです。

以下では、SIMスワップ詐欺の被害に遭った場合の対処法を紹介します。

• SIMカードが再発行されているかどうかを確認する：携帯電話会社に電話し、SIMカードが再発行されているかを確認します。もし、再発行されていた場合は、再発行されたSIMカードを一時的に無効化し、データの復旧手続を行ないましょう。
• オンラインバンキングのパスワードを変更する：まずは銀行口座に不審な取引がないかを確認します。そして、銀行に問い合わせて、パスワードを変更したり、口座を使用できないように一時的に凍結したりしましょう。
• 警察に連絡する：銀行口座からお金がなくなったり、SIMスワップ攻撃の被害に遭ったりした場合は、すぐに警察に連絡しましょう。専門の部署が対応してくれるでしょう。警察に被害届を出し、補償を受けられるようにしましょう。
• 電話番号を取り戻した後、セキュリティを見直す：電話番号を取り戻した後は、まずメールアドレスや全てのパスワードを変更しましょう。今後この種の攻撃を防ぐためにメールやプロバイダーのセキュリティ設定を見直しましょう。

犯罪者達は、SIMスワップ詐欺を実行するためにまずは手掛かりとなる個人情報を収集します。ここからは、SIMカードを再発行されないために気をつける点や自分の身を守る方法を紹介します。

安全性が低いウェブサイトに個人情報を入力しない

銀行やAmazonなどの大企業を装った偽サイトをはじめ、安全性が確保されていないウェブサイトには個人情報を入力しないようにしましょう。特にURLがhttpsではなく、httpではじまるウェブサイトは通信がSSL化（暗号化）されておらず、漏えいの危険があるので、アクセスしないようにしましょう。

SMS以外の2段階認証を使用する

セキュリティ対策として有効な2段階認証の多くは携帯電話番号によるSMSを使用していますが、SIMスワップ攻撃された場合に対処できません。なので、多要素認証や生体認証、「Google認証システム」のような専用アプリ上で一定期間のみ有効な認証コードを生成できる認証を利用しましょう。

定期的にパスワードを変更する

全てのアカウントで複雑で独自性のあるパスワードを設定し、同じパスワードを複数のアカウントで使い回しをしないようにしましょう。そうすることで、1つのアカウントが漏えいした場合でも、その他のアカウントが被害に遭うことはありません。詳しくはこちらのNordVPNが提供している「最強のパスワードの作り方」を参考にしてみましょう。

セキュリティ対策ソフトを利用する

SIMスワップ攻撃されないためにも、お使いのスマートフォンや各デバイスに脅威を検知するセキュリティ対策ソフトを導入しましょう。特にNordVPNが提供しているダークウェブモニタリングは、ダークウェブ上に流出したアカウント情報が悪用されることを防ぐために設計されたサイバーセキュリティ機能です。これを使用することでサイバー犯罪者に個人情報を悪用されることを防ぎます。

上記の方法に加えて、公共のWi-Fiを使用する際はインターネット通信を暗号化するVPNに接続するなど、まだいくつか有効なセキュリティ対策はあります。

今回紹介したSIMスワップ詐欺のリスクや手口を知っておくことは、自分の身を守るための対策にもなります。SIMスワップ詐欺の被害に遭わないためにも普段からSNS上などでの個人情報の取り扱いは慎重に行ない、適切な対策を実行することでリスクを回避することができるでしょう。そして、万が一被害に遭った場合は、早急にSIMを無効化するようにしましょう。