確実なデータ消去ならピーシーキッド

フリーダイヤル東京/0120-56-2982 大阪/0120-25-2982
CONTACTお問い合わせ

最新情報NEWS

HOMEブログSIMスワップの脅威

SIMスワップの脅威

スマホの画面を怪訝な表情で眺める女性のイメージ画像

SIMスワップの脅威

情報漏洩や不正アクセスが急増する昨今では、既存の認証方法からローカル認証が重視される傾向にあります。そのような状況でアメリカなどの海外で横行している「SIMスワップ」が国内で増加するようなことがあれば、我々が享受しているインターネットを利用した便利な各種システムの認証が安全に行われる確率は、絶望的に低下します。 多要素認証の一つとして重用されている通話認証やSMS認証の信頼性が損なわれるためです。

SIMスワップとは

海外で流行っていた「SIMスワップ」が、2~3年前から日本でも発生するようになりました。 ネットバンキングやオンライン証券、暗号通貨など金融機関等の取引が当たり前のようにインターネット上でやり取りされている現状において、「SIMスワップ」という手法が広まれば、万が一のリスクの際の被害は甚大なものになる可能性があります。 では、「SIMスワップ」とはどのようなものでしょうか。

SIMスワップは、ソーシャルエンジニアリングに依存する詐欺行為で、悪意のある人間が他者のSIMを乗っ取り、金融資産を窃取したり、SNSアカウントを乗っ取るなどを行う非常に悪質で被害リスクが大きい手口です。注意していても防ぐことが難しいものになりますので、「SIMスワップ」被害を避けるためにも、「SIMスワップ」がどのようなものかを予め情報として知っておくことと、その被害に遭遇しないために注意すべき点などを「知識として」知っていることが大切です。

上記 ( 図 ) の例では、攻撃者は予めターゲットとする人間の個人情報をフィッシング等にて入手します。 その情報を基に運転免許証などの公的証明書を偽造します。その際、名前や住所などの情報は窃取したものを使用し、写真のみを実行役の写真画像を使って偽造免許証を作成します。偽造された運転免許証を実行役の人間に送付し、実行役の人間は、偽の身分証を持って携帯ショップに行きます。「携帯を紛失したので、SIMカードを再発行したい。」などと偽り、SIMを入手します。入手したSIMは、指示役が指定した宛先に送付されます。指示役の人間は、再発行されたSIMを使い、オンラインバンクにログイン。犯罪者側の口座に現金を振り込みます。金額が大きい場合、銀行から確認の電話が入ることがありますが、電話は被害者の携帯電話のSIMが入った犯人の手元にある電話番号にかかるので、送金はつつがなく行われてしまいます。また、SMS認証も通過してしまうので、この場合も送金は行われてしまいます。SIMスワップの被害にあった人間は、SIMの再発行が済んでしまうと、携帯を使うことができなくなり、携帯の画面には「圏外」と表示されます。気が付いた時にはもう手遅れかもしれません。

SIMスワップ被害に遭わないために

SIMスワップを使って攻撃を行うためには、(第一段階) 詳細な個人情報と電話番号を入手し、(第二段階) 電話番号をポートする。(ターゲットの電話番号のSIMを入手する)という2段階の行動を行う必要があります。このどちらかが欠けてもSIMスワップは完遂しないということです。

(第一段階)攻撃者が個人情報を収集する方法には主に以下のようなものがあります。
SNSストーキング
攻撃者はターゲットに対して時間をかけてSNSをチェックし、名前や出身地、家族や友人、住んでいる地域、生年月日などの情報を収集します。銀行やその他金融機関、携帯のキャリアからの電話やセキュリティ質問の際に慌てないためです。
闇市場で個人情報を購入
ダークウェブ上では不正アクセスなどで漏洩した個人情報のリストを簡単に購入することができます。
フィッシング
メールやショートメール、正規のサービスに似せた偽サイトなどを使って個人情報を窃取します。リンクをクリックさせたり、フォームに入力させるなどで個人情報を収集します。 メールの添付ファイルにマルウェアが忍ばせてあることもあります。
(第二段階)不正に収集した個人情報を使ってターゲットの電話番号をポートします。
多くの携帯電話のキャリアでは本人確認のためにセキュリティ質問などを使います。そのために攻撃者はなるべく詳細な本人に関わる情報を得ようとします。SIMを入手するなどして乗っ取りが完了してしまうと、電話やメール、2FA ( Two-Factor Authentication:2要素認証 ) コード などは全て攻撃者の手元の携帯電話に届いてしまいます。 そうなってしまうと、攻撃者は『(被害者)本人として』金融機関や各種サービスにログインできるようになります。

SIMスワップ被害に遭わないためにすべきこと

  • SIMスワップ攻撃を行うときに、SNSのプロフィールや投稿は恰好の情報ソースになります。 ペットの名前、電話番号や住所、家族構成などは公表しないことをおすすめします。
  • なるべく異なった文字種や記号を組み合わせなるべく長いユニークなパスワードを使うこと、各サービス間でパスワードの使いまわしをしないことが大切です。
  • SIMカードにPINを追加することは大変有効です。
  • OSやブラウザ、セキュリティソフトなどのソフトウェアを常に最新の状態に保つことで脆弱性(セキュリティホール)を作らないことが大切です。

上記のような予防のための手立てを実行することが大切ですが、万が一被害に遭ってしまった場合、お使いの携帯電話は、「圏外」となり、電話もメールも使えなくなります。「通信障害だろうか。そのうち直るだろう。」などと放置せず、すぐになんらかの方法でお使いの携帯電話のキャリアに連絡し、SIMを凍結してもらうことをおすすめします。万が一SIMスワップ被害に遭っていたら、時間の経過と共に被害は拡大する一方です。携帯電話のキャリアに連絡する際に、「SIMスワップかもしれない」と伝えることで迅速に対応してもらえる可能性が高くなります。

また、うまくSIM凍結が出来た場合でも、今まで各種サービスで使っていた全てのパスワードは変更が必要なことを決して忘れず実行して下さい。

PAGE TOP