【悲報】スマホ乗っ取りで預金全額消失の危機、SIMスワップという新たな恐怖が日本上陸
スマホのSIMを乗っ取られて預金が消える「SIMスワップ」が日本に上陸
世界中で猛威を振るっているサイバー犯罪「SIMスワップ」が、ついに日本に上陸した。文字通りスマートフォンのSIMカードを乗っ取り、銀行口座の預金を根こそぎ奪うこの手口は、もはや他人事ではない。通常のネット銀行のセキュリティ対策を完全に無効化する、極めて巧妙な犯行方法として、FBIも警鐘を鳴らしている。
これまでネットバンキングは「二段階認証」によって安全性が保たれてきた。IDとパスワードが漏洩しても、スマホに届くワンタイムパスワードを入力しなければ送金はできない仕組みが、被害を防いできた。しかしSIMスワップは、この最後の砦である「スマホそのもの」を奪ってしまう。攻撃者があなたの電話番号を手中に収めた瞬間、すべてのセキュリティが無意味になるのだ。

闇バイトによるSIM再発行という盲点
犯行の手順は以下の通りだ。まず攻撃者はダークウェブであらかじめ購入した個人情報をもとに、ターゲットの身分証明書を偽造する。そしてSNSなどで募集した闇バイトに、偽造された身分証を持たせて携帯ショップに向かわせる。バイトには「SIMの再発行手続きをするだけで1回10万円」という報酬が支払われる。この掛け声に乗ったバイト店員は、店頭で「SIMをなくしたので再発行してほしい」と申し出る。店員は提示された身分証明書を確認し、本人と見なしてSIMの再発行を実行してしまう。
再発行が完了した瞬間、あなたのスマホは圏外になり、攻撃者のスマホにあなたの電話番号が移る。この時点であなたのスマホはただの文鎮と化し、以降の銀行からの確認電話や、ワンタイムパスワードを必要とするすべての手続きが攻撃者によって掌握される。
被害者はスマホが突然使えなくなり、異変に気づいてキャリアに問い合わせるが、その頃にはすでに預金は引き出された後である。銀行も送金に不審を感じて確認の電話を入れるが、つながる先は攻撃者であり、「問題ありません」と言われれば送金は実行されてしまう。送金先は海外の口座を経由し、仮想通貨やデジタルカジノのコインに変換されて追跡が不可能になる。
ダークウェブで売買される日本人の個人情報
なぜ攻撃者はあなたの個人情報を知っているのか。答えはダークウェブにある。一般のブラウザではアクセスできないインターネットの裏社会「ダークウェブ」では、クレジットカード番号やログイン情報などが当たり前のように売買されている。著名なセキュリティソフトメーカーのノートンによる調査では、2020年4月から8月までのわずか5ヶ月間で、新たに売り出された日本人のログイン情報(IDとパスワードの組み合わせ)は95万件、クレジットカード番号は3万件にものぼる。累計では天文学的な数の個人情報がダークウェブに出回っているとされる。
攻撃者はこうした情報を数千、数万単位で購入し、片っ端から銀行口座にログインして預金額を確認。大口の口座を見つけると闇バイトを雇ってSIMスワップ攻撃を仕掛ける。つまり、あなたの個人情報がダークウェブに流出してしまっている時点で、いつ被害を受けてもおかしくない状況にあるということだ。
情報流出の入り口はフィッシング詐欺
では、自分を守るために最も重要なことは何なのか。それは「個人情報を流出させないこと」に尽きる。企業から個人情報が流出するケースは個人では防ぎようがないが、銀行のログイン情報やECサイトのID・パスワードが流出する経路の多くは、フィッシング詐欺によるものだ。「あなたの口座に不正なログインがありました」「プライムの支払いに問題があります」といった件名のメールに添付されたリンクをクリックし、本物そっくりの偽サイトでIDやパスワード、さらには氏名や電話番号まで入力してしまう。これがすべての入口である。
また、駅やホテル、カフェなどのフリーWi-Fiを経由した通信は、第三者によって簡単に傍受できる。こうした危険から身を守るにはVPNの利用も有効な手段となる。月額数百円のコストで通信を暗号化し、安全性を大幅に高めることができる。
ネットの反応
SIM再発行の本人確認を厳格にすべき。そもそも「紛失した」なんて怪しい。
やっぱり何でも電子化するのは危険だよな。
ネット銀行の残高は少なくしておいた方が良さそう。
ショップで指紋認証も導入すべきだわ。
SIM再発行時に登録番号に電話するだけで防げると思うんだけど。
知らないと大損する。こういう情報を義務教育で教えるべき。
追加で「荷物が届きました。こちらにアクセスして下さい」系のメールも危ない。
犯罪者の罪が軽すぎるから増えるんだよ。極刑にすべき。
銀行の人は「窓口に来ないでスマホから操作して」と言うけど、あの4桁の暗証番号だけで信用できない。
一番の対策はネットバンキングを使わないことだよな。
AIの所感
SIMスワップは、IDとパスワードの流出だけではくスマホそのものの乗っ取りまで行うため、従来のネットバンキングのセキュリティ対策がほぼ無効化される厄介な犯罪である。特に気になるのは、キャリアの本人確認プロセスが紙の身分証の提示のみで完了してしまう点だ。昨今はAIで顔写真の合成も容易であり、身分証の偽造を見破るのは非常に難しい。SIMの再発行には、電話による確認や、事前に登録した本人確認用のパスワードを必須とするなどの制度的な改善が急務だろう。ユーザーとしても、フィッシングメールに安易に反応しないこと、むやみに個人情報をネット上に入力しないこと、そしてVPNを活用するなど自衛策を徹底するしかない。すべての財布をスマホ1台にまとめる時代だからこそ、その裏に潜むリスクを正しく認識しておく必要がある。