「最近よくニュースでみるSIMスワップ詐欺って何だろう?」
「SIMスワップ詐欺はどのような手口で行われるのか知りたい」
と、思っていませんか?
SIMスワップ詐欺とは、悪意を持った攻撃者がスマホ/SIM契約者本人になりすましてSIM/スマホを乗っ取り、自身や仲間の口座へ不正送金をする詐欺手口のことを指します。
近年ではスマートフォンの機能が進化し、銀行へ行かなくてもアプリで入出金ができる便利な世の中になっていますが、一方で便利さを利用した犯罪もはびこっているので取り扱いには注意が必要です。
そこで、今回は
- SIMスワップ詐欺について
- SIMスワップ詐欺の被害にあった時の対処法
- SIMスワップ詐欺にあわないための対策
について解説します。
「最近スマホの電池の減りが妙に早い」「見慣れないサイトが常にポップアップされる」など、スマホの調子に異変を感じている方はSIMスワップの被害にあっている可能性があります。
是非ご一読ください。
SIMスワップ詐欺とは
SIMスワップ詐欺とは、SIMスワップ=アカウント乗っ取り(SIMに不正アクセスしてスマホを乗っ取ること)を利用して攻撃者自身や仲間の口座へ不正送金をする詐欺手口のことをいいます。
通常、SIMカード情報と電話番号を紐づけることでスマホを使って通話やネット通信が可能になります。
このSIMカードが乗っ取っれる/不正にアクセスされることによって、このSIMスワップ詐欺が行われます。
SIMカードには契約情報などが入っているため、そこから不正送金などの被害にあう人が増加しています。
SIMスワップの語源
「SIMスワップ」は以下の語源からきています。
- SIM・・・Subscriber Identity Moduleの頭文字をとったもので、小型でカードの形をしている契約者の個人情報が入ったカード型ICチップです。
- スワップ・・・交換するという意味
つまり「SIMスワップ」とは、SIMカードに入った情報を悪意のある攻撃者と交換するという意味からきています。
SIMスワップ詐欺の目的
SIMスワップ詐欺の目的には以下のようなことがあります。
- 詐欺行為で金銭的な利益を得ること
- 嫌がらせやストーカー行為を目的とすること
順に解説します。
詐欺行為で金銭的な利益を得ること
不正者は、スマホ契約者の銀行口座や支払いアプリにアクセスし、金銭的な利益を得る事を目的にSIMを狙います。
また、ほとんどのスマホに個人情報やビジネス情報が保存されています。
不正者はビジネス情報のような情報も盗んで利益にしようとしています。
嫌がらせやストーカー行為を目的とすること
SIMスワップを行う不正者は、特定のスマホ所有者に嫌がらせやストーカーをする場合もあります。
スマホを盗み取ることで被害者のプライバシーを侵害し、情報を収集するために利用します。
例えば、被害者の会話やメッセージの内容を盗み聞きしたり、カメラやマイクを遠隔操作して監視できてしまいます。
SIMスワップ詐欺の事例
ここからは、実際のSIMスワップ詐欺の事例を紹介します。
SIMスワップ詐欺は、既に国内でも多くの事件が摘発されています。
【事例1】
2023年1月26日、愛知県警によると神奈川県と東京都の2人の男性をSIMスワップ詐欺によって逮捕しました。
神奈川県の男性は闇バイトとして勧誘活動を行っており、不正に取得した他人名義のSIMカードを使用したSIMスワップの手口を使って不正送金を行っていました。
【事例2】
2023年1月25日、愛知県警は男2名に対し、詐欺と偽造有印市公文書行使、その後2月22日には不正アクセス禁止法違反、電子計算機使用詐欺の容疑で再逮捕しました。
男らは大阪府の男性のインターネットバンキングに不正アクセスし、同人の2つの口座から約606万円を彼らの管理する口座に送金したとされています。
2022年7月から10月にかけて約4200万円の不正送金に関与していた疑いがあるとして捜査を進めています。
【事例3】
2023年5月10日には警視庁サイバー犯罪対策課は詐欺や組織犯罪処罰法違反などの疑いで、無職の女性を逮捕しました。
「闇バイト」に応募した可能性があるようで、およそ3カ月間で25人の口座から合わせて9000万円以上を不正に送金したとみられています。
携帯電話会社の窓口で偽造免許証などを提示し、「紛失した」など嘘をついてSIMを再発行させ番号を奪い取るといったようです。
それを使い「SMS二段階認証」を突破し、40代の女性からクレカや銀行のネットバンキングで資金を抜きとりました。
※引用:讀賣新聞オンライン
SIMスワップ詐欺は攻撃者が契約者本人の契約キャリアに連絡をし、本人のふりをして電話番号の意向手続きを行うので、利用者側で「これをやっておけば大丈夫」という対応策がないのが現状です。
ですが、詐欺被害にあわないようにする予防策はあるので後ほど紹介します。
上の事例のようなSIMスワップ詐欺に遭わないようにするための対策は『SIMスワップ詐欺に遭わないための9つの対策』をご参照ください。
【要注意】SIMスワップ詐欺の手口を解剖
SIMスワップ詐欺の手口は、以下の図のような手口で契約者の銀行口座からお金を盗みます。
中には偽造免許証を作成する共犯者がいる場合や、闇の組織化している場合もあります。
まとめると以下のような順序で手口が実行されます。
- 手口1. 第三者にSIMカードを再発行される
- 手口2. ネットバンクへ不正アクセスされる
- 手口3. 第三者の口座へ自分の口座から送金される
順に解説します。
手口1. 第三者にSIMカードを再発行される
攻撃者はフィッシング詐欺などで被害者のスマホから個人情報やセキュリティ情報を不正に入手し、携帯電話会社に「スマホを紛失したのでSIMカードを再発行して欲しい」と嘘をついて、盗んだ個人情報を元に作成した偽の身分証明書を提示します。
被害を受けた契約者のスマホは攻撃者のスマホにSIMデータが切り替わってしまったため、通信サービスが停止されます。
手口2. ネットバンクへ不正アクセスされる
契約者のスマホを手に入れた攻撃者は契約者のネットバンクに不正アクセスし、攻撃者の口座に金銭を振り込む手配をします。
その際に、本人確認を目的とするワンタイムパスワードが発行されることもありますが、スマホを乗っ取られているのでワンタイムパスワードの効果がなくなります。
手口3. 第三者の口座へ自分の口座から送金される
契約者のネットバンキングのアクセスに成功した攻撃者は自身の暗号用資産などの口座に振り込みます。
暗号用資産とはビットコインやイーサリアムといったネット上で取引できる財産的価値で、仮想通貨ともいわれています。
SIMスワップ詐欺の被害にあわないための9つの対策
SIMスワップ詐欺の被害にあわないようにするには、普段から注意を払っておくことが大事です。
ここからは、SIMスワップ詐欺に遭わないための以下の9つの対策を紹介します。
- むやみにWebサイト上で個人情報を入力しない
- 二段階認証の有効化をする
- 二段階認証に認証アプリやワンタイムパスワードを利用する
- 定期的にパスワードを変更する
- 電話番号の管理を徹底する
- 不審な電話やメッセージに注意する
- 怪しいメール・SMSに注意する
- フリーWi-Fi下でのスマホでの銀行利用やネットショッピングを行わない
- スマホが突然アクセスできなくなることがないか確認する
これらを行えばむやみに個人情報を外部にもらすことはないので、SIMスワップの被害にはあわないでしょう。
それでは順に解説します。
むやみにWebサイト上で個人情報を入力しない
個人情報を入力する前に、使用しているウェブサイトやオンラインサービスの安全性を確認しましょう。
公式のウェブサイトや信頼できる取引先にのみ個人情報を提供し、不審なリンクやメールには注意を払いましょう。
SNSなどに個人情報を記載しないことも大事です。
二段階認証の有効化をする
会員制のWEBサービスではアカウントの乗っ取りを防ぐために二段階認証を設定しているところもあります。
二段階認証とはWEBサイトなどにアクセスする際に2回にわたってログインをすることを指します。
詳しくは以下の記事でも解説しています。
二段階認証に認証アプリやワンタイムパスワードを利用する
スマホの二段階認証をより強固なものにしておくことも大事です。
二段階認証で同じ要素を組み合わせてログインをしている場合は異なる要素を組み合わせるような設定をしておきましょう。
また、高度な保護機能は「認証アプリ」や「セキュリティキー」を利用しましょう。
以下のようなツール・アプリで二段階認証を登録することができます。
定期的にパスワードを変更する
パスワードは他人が予測しにくいもので色んな媒体で使いまわすのは止めましょう。
長さが十分あり、英数字や特殊文字をいれることでセキュリティレベルは高まります。
パスワードは大体3か月~6か月程度経過したら変更するようにしましょう。
電話番号の管理を徹底する
攻撃者は契約者のIDや本名、電話番号さえわかれば簡単にSIMスワップ詐欺を仕掛けることができます。
それらの情報は主にフィッシング詐欺によって奪取されることがほとんどです。
電話番号をむやみにサイトに入力したり、他社に教えるのは避けて管理を徹底しましょう。
不審な電話やメッセージに注意する
自分は大丈夫と思っていても不審な電話やメッセージは非常に巧妙になってきています。
以下のような場合には特に要注意です。
- 急に自分の個人情報やセキュリティ情報を求められる場合
- 知らない人や企業からのプロモーションやオファーがある場合
- 通信キャリアや金融機関の代表者を名乗り、不審に個人情報を求められる場合
不審な電話に対して警戒するようにしましょう。
怪しいメール・SMSに注意する
知らない・身に覚えのない連絡先からのメールはフィッシングメールの可能性がとても高いです。
フィッシングメールとは、送信者を偽って電子メールを送信する詐欺手口のひとつで、このメールに記載された偽サイトのURLへ誘導し、IDやパスワードなどの個人情報を盗み出すのが目的です。
例えば、下図は銀行のサイトを装って不特定多数の人に送られている迷惑メールです。
自分の口座が凍結したというSNSメールが銀行から届くということはないので、慌てずに無視しましょう。
こういったフィッシングメールで、フィッシングサイトに通じている場合もあります。
フィッシングサイトから個人情報が盗まれるので、注意しましょう。
フリーWi-Fi下でのスマホでの銀行利用やネットショッピングを行わない
よく公共で発信されているフリーWi-Fiですが、これを使っている時に、スマホで銀行アプリの操作やネットショッピングはやめましょう。
なぜなら、フリーWi-Fiのセキュリティは低く、Wi-Fi経由であなたのスマホをのぞき見される危険性があるからです。
そのためフリーWi-Fiをゲームの利用や動画の視聴で使うのはよいですが、個人情報が見えてしまうような操作をすることはやめましょう。
スマホが突然アクセスできなくなることがないか確認する
不審な第三者が複製したSIMカードを使用している場合、使っているスマホの通信が突然切れてしまう場合があります。
これは既に、不正者にSIM/スマホが乗っ取られています。
通信が突然途切れた場合や不審な動作がある場合には、自分が契約しているキャリアまたはSIMサービスにすぐに連絡し状況を報告しましょう。
そして万が一、SIMスワップ詐欺被害にあってしまった時の対処法は以下です。
SIMスワップ詐欺被害にあった時の対処法5つ
SIMスワップ詐欺の被害にあった場合には以下の対処法を実践しましょう。
- スマホ/SIMを契約している事業者に連絡する
- SIMを再発行し初期化する
- 利用していたパスワード変更などの個人でできるセキュリティ強化する
いずれも気付いた段階ですぐに対応しましょう。
順に解説します。
スマホ/SIMを契約している事業者に連絡する
SIMカードを何者かによって再発行されていないか確認するためにも携帯を契約している事業者に連絡しましょう。
キャリアやmvnoといった通信事業者に連絡をし、もしも自分のスマホのSIMカードが再発行されていた場合には、再発行されたSIMカードの無効化とデータの復旧手続きを取りましょう。
SIMを再発行し初期化する
SIMスワップ詐欺にかかってしまったとすぐにわかったら、SIMカードを再発行し、データの復旧手続きをとりましょう。
また、所有しているネットバンクにアクセスし、パスワードを変更することも忘れないようにしましょう。
利用していたパスワード変更などの個人でできるセキュリティ強化する
金融機関だけでなく、フリマアプリやSNSなど所有しているサイトのパスワードをすべて変更して、セキュリティを強化しておきましょう。
パスワードは長く、複雑で予測しにくいものを選びましょう。
異なるオンラインサービスごとにパスワードを使用することも重要です。
まとめ
WEB環境の利便性が向上し、ネットバンクは24時間振り込みすることも可能で国民の約半数以上が使用しています。
しかし、その一方で利便性を逆手にとった「SIMスワップ」の手口での詐欺が急増しています。
これをしておけば確実にSIMスワップ詐欺にはひっかからないという対策がなく、被害は拡大していますが、自身でできる以下の予防策を心がけておくことが重要です。
- むやみにWebサイト上で個人情報を入力しない
- 二段階認証の有効化をする
- 二段階認証に認証アプリやワンタイムパスワードを利用する
- 定期的にパスワードを変更する
- 電話番号の管理を徹底する
- 不審な電話やメッセージに注意する
- 怪しいメール・SMSに注意する
- フリーWi-Fi下でのスマホでの銀行利用やネットショッピングを行わない
- スマホが突然アクセスできなくなることがないか確認する
SIMスワップでスマホをのっとられないようにするためにこれらをきちんと行いましょう。
また、インターネットのセキュリティについて詳しく知りたい方は以下の漫画を参考にしてください。
