SIMスワップ詐欺による被害が増加しています。携帯電話を持っている方は、この攻撃がどのようなものか把握しておきましょう。注意すべき兆候や大きなダメージを防ぐ方法について認識しておく必要があります。
SIMスワップ詐欺とは?
スマートフォンの普及率が高い米国を中心に、世界中でSIMスワップ詐欺による被害が懸念されています。携帯電話を標的とした巧妙な攻撃により、気付いたときには既に手遅れになっていることもあるでしょう。特に、注意すべき兆候について知らない方の被害が目立ちます。経済的にも社会的にもダメージが大きく、復旧も容易ではありません。SIMスワップ攻撃の仕組みと、被害を防ぐ方法を理解しておくことが非常に重要です。
SIMとは?
SIM(Subscriber Identity Module)とは、携帯電話用の小さなチップカードのこと。端末に差し込むことで、通話・SMS・データサービスを有効化させます。それぞれのSIMカードには固有のIDがあり、1つのみのモバイルアカウントと紐付けられています。これにより、携帯電話のSIMカードを取り出して別の端末に挿入すると、元端末から新しい端末に自動的にモバイルサービスが移管されます。また、元の携帯電話を紛失したときは、携帯電話会社が新しいSIMカードにIDを移してくれるでしょう。この特性から、モバイルデバイスには、SIMスワップ詐欺という特殊な攻撃に対する脆弱性があります。
SIMスワップ詐欺とは?
SIMスワップ詐欺には、「SIMハイジャック」や「SIMスワッピング」といった別名がありますが、いずれも同じ意味です。
詐欺の手口としては、まず携帯電話の所有者になりすまし、自分の持っているSIMカードに被害者の電話番号を移すよう、モバイルサービスプロバイダに依頼します。詐欺師が所有権を取得すると、被害者の電話番号に紐付けられているアカウントで、SMSによる二要素認証が通るようになります。こうして、被害者の電話番号とアカウントが完全に乗っ取られてしまうのです。
攻撃者は、SIMスワップ詐欺によって、特に機密性が高いデータを入手できる可能性があります。たとえば、SMS・メール・連絡先・銀行口座・ソーシャルメディアのプロフィールなどです。通常SIMスワップ詐欺は、主に金銭目的で行われるため、ハッカーはクレジットカード情報や銀行口座、さらには暗号通貨ウォレットへアクセスしようと試みます。
これらは非常に深刻な問題となっており、FBIによると、2021年の被害総額は 6,800万米ドルにのぼると推定されています。また、2018年から2020年にかけての被害総額1,200万米ドルから、大幅に増加しているのも事実です。
ただし、別の理由でSIMスワップ攻撃が実行される場合もあります。たとえば、次の3つのケースが考えられます。
- 被害者のソーシャルメディアアカウントを不正利用する
- 電話番号および紐づけられたアカウントへのアクセス権を転売する
- 電話番号を乗っ取り、所有権の返却を条件に相手に金銭を要求する
SIMスワップ詐欺の仕組み
SIMカードは、固有のユーザーデータを使用して、モバイルネットワークに接続します。ユーザーデータが新しいSIMカードに移されると、元のカードは使用できなくなる仕組みです。同時に、キャリアが提供する通話・SMS・インターネット接続は、すべて新しいカードに移されるでしょう。SIMスワップ詐欺では、この基本的な仕組みと同じことが起こっています。
通常、詐欺師はまず、携帯電話アカウントの所有者に関する個人情報を収集します。手法としては、闇市場で情報を買う・ソーシャルメディアプロフィールの情報を集めて整理するなど、いくつかの方法があるでしょう。攻撃者は、最初にフィッシング詐欺を実行することが多く、携帯電話のサービスプロバイダーを装い、アカウント所有者にメールを送ります。このメールにはWebサイトへのリンクが記載されており、生年月日・パスワード、さらにはマイナンバーといった情報を入力するよう求められます。これらを入力すると、データが詐欺師の手に渡ります。
次に、アカウントが登録されている携帯電話会社に連絡をとり、集めた情報を駆使してアカウント所有者だと偽ります。本人確認が完了すると、攻撃者は元のSIMカードを紛失したと主張し、自分が持っている新しいSIMカードに電話番号を移すようキャリアに依頼するでしょう。この手続きが完了すると、詐欺師はこの電話番号の所有者となり、通話やSMSを傍受できるようになるのです。これには、銀行口座やソーシャルメディアプロフィールのアクセスに必要な認証コードも含まれます。
発生頻度は低いものの、詐欺師が別の方法でSIMスワップ詐欺を行うこともあります。たとえば、モバイルサービスプロバイダーの従業員が攻撃者と共謀して情報を提供し、SIMカードを選んで電話番号の移植を手助けするといったケースがあげられます。
SIMスワップ攻撃を示す兆候
SIMスワップの兆候は、ほとんどの場合とても簡単に発見できます。攻撃の直後は、
より判別しやすいでしょう。ここでは、SIMスワップで注意すべき兆候をいくつかご紹介します。
- 怪しい通知:初期の段階では、予期せぬサービス変更に関するSMS通知・携帯電話への着信があります。このような通知を受け取ったら、すぐにサービスプロバイダーに問い合わせて詳細を確認することをおすすめします。
- 電話サービスが使えなくなる:突然、電話サービスが使えなくなった場合(たとえば、通話の発着信やSMSの送受信ができない・使えるはずのデータサービスが使用できない場合)は、SIMカードが無効化されている可能性があります。サービスプロバイダーに問い合わせれば、SIMカードの切り替えが行われたのか、一時的な問題に過ぎないのかを確認してもらえるでしょう。
- ソーシャルメディアに見覚えのない投稿がある:ソーシャルメディアアカウントで、自分の知らない間に勝手に投稿されていることがあります。この場合、SIMスワップ詐欺詐欺師にアカウントを乗っ取られた可能性があります。
- アカウントのロックアウト:銀行口座・ソーシャルメディアプロフィール・メールに突然アクセスできなくなった場合、SIMスワップ詐欺により、アカウントが乗っ取られている兆候かもしれません。
- 身に覚えのない取引:銀行やクレジットカードの明細に、疑わしい取引がある場合は、詐欺の兆候といえます。SIMスワップ詐欺師が、密かに金融機関のアカウントを通じて取引を行った可能性があります。
SIMスワップ詐欺に遭った場合の対処
SIMスワップ詐欺を阻止する対策を万全にしても、このような攻撃は発生しており、ますます頻度が増えています。SIMスワップ詐欺が発生したときや、その兆候がある場合、最も適切な対応は、対象の電話番号についてサービスプロバイダーに直接相談することです。サービスプロバイダーは、直近でアカウントに何か変更があれば教えてくれるでしょう。万が一、SIMスワップ詐欺の発生を確認した場合は、電話アカウントとSIMカードを完全に無効化してくれるはずです。
このようなリスクに備えて、バックアップのモバイルデバイスを用意しておくのもよいでしょう。SIMスワップ攻撃が発生し、メインのデバイスで接続不可になったとしても、サービスプロバイダーにいち早く連絡できることが非常に重要です。
SIMスワップ攻撃におけるソーシャルメディアの役割
近年、数百万もの人がソーシャルメディアを使用しています。多くの人が利用していることから、Facebook・Instagram・TikTokなどの個人アカウントを持つことは、比較的リスクがない行為に感じられますが、多くの方が考えるほど安全ではないかもしれません。
なぜなら、SIMスワップ詐欺の鍵を握るのは、特定の人についての個人情報をできるだけたくさん集めることだからです。ソーシャルメディアプロフィールには、SIMスワップ詐欺を成功へと導く情報が豊富に揃っているのです。
詐欺師はソーシャルプロフィールを検索して、電話アカウントを乗っとるのに役立つ手がかりを探しています。たとえば、Instagramの投稿でペットの名前を把握したり、Facebookグループで誰かの出身高校名を見つけたりします。このような情報が、パスワードやセキュリティの質問に対する答えに使われているケースも多いでしょう。詐欺師は、これらの情報を使ってSIMスワップ攻撃を実行したり、SIMアカウントを乗っ取ったりする可能性があります。
他に考えられる要因としては、特定の人物のソーシャルメディアアカウントを乗っ取って、悪意のある投稿をすることです。被害者はさまざまな問題に巻き込まれたり、恥をかかされたりする可能性があります。過去の事例としては、2019年に元
TwitterのCEO
「ジャック・ドーシー氏」が被害を受けた
SIMスワップ攻撃があげられます。このケースでは、CloudhopperのSMS経由でツイートする機能を詐欺師に悪用され、ドーシー氏の電話番号から攻撃的なメッセージがTwitterに投稿されました。
SIMスワップ詐欺を防ぐには
被害を恐れて、携帯電話を使うのをやめるのは現実的ではありません。それほど極端な対策をとらなくても、SIMスワップ攻撃を回避できます。ここでは、被害を防ぐいくつかのヒントをご紹介します。
1.オンラインでの基本ルールを徹底する:オンラインでの安全性を守る基本ルールを遵守してください。フィッシングメールに注意し、疑わしいリンクをクリックしたり、機密性の高い個人情報をオンラインで提供したりしないようにしましょう。ほとんどのサービスプロバイダーは、アカウント所有者に銀行口座やマイナンバーなどの情報をメールで聞くことはありません。
2.電話アカウントのセキュリティを確保する:多くの携帯電話会社では、所有者が電話アカウント変更に使うセキュリティ設定を用意しています。固有のパスワード・PINコード・セキュリティに関する質問を設定することで、アカウントの所有者がセキュリティを強化できるようにしています。
3.認証アプリを使用する:二要素認証でアカウントを保護する場合は、電話番号ではなく、安全性の高いアプリを使用してください。アプリを使うと、認証プロセスが電話番号ではなくデバイスと紐付けられるため、SIMスワップ詐欺の被害にあう可能性が低くなります。
4.コールバックサービスを利用する:銀行やモバイルサービスプロバイダーに、コールバックサービスがあれば活用しましょう。アカウントに変更を加える際は、必ずアカウントに登録された電話番号に連絡するよう依頼しておくと、被害を未然に防げるかもしれません。
5.アカウントと電話番号を紐付けるのを避ける:アカウントの設定と認証には、可能であれば別の方法を使用するのがおすすめです。SIMスワップ攻撃が発生したときに、ハッカーがアクセスできるアカウントを減らせます。
一部の国では、SIMカードの購入と登録にあたって、写真付き身分証明書の提示が求められています。これにより、身分証明書を確認できない場合は、電話番号の変更をサービスプロバイダーが許可しません。
SIMスワップ攻撃:防御可能な攻撃
SIMスワップ詐欺により、悪意のある攻撃を受けた被害者は、経済的にも社会的にも多くの困難に直面する可能性があります。携帯電話ユーザーは、SIMスワップ詐欺被害に遭遇しないために、自分のデバイスの保護対策をしておくことが重要です。携帯電話会社のセキュリティ対策を導入するだけでなく、電話番号に紐付けられた個人アカウントの数を制限することも、SIMスワップ詐欺攻撃を防ぐのに効果的です。
SIMスワップ詐欺に関するよくある質問
SIMスワップ攻撃とは何ですか?
SIMスワップ詐欺とは、詐欺師が誰かの電話番号を自分のSIMカードに移し、その電話番号を乗っ取ることです。詐欺師は、乗っ取った電話番号の所有者になりすまし、その番号に紐付けられたアカウント(銀行口座・クレジットカード・ソーシャルメディアプロフィールなど)にアクセスできるようになります。
SIMスワップ詐欺は、金銭的な目的で実行されることが多いため、相手の銀行口座やクレジットカードを標的にするのが一般的です。ただし、被害者のソーシャルメディアプロフィールを乗っ取り、悪意のある目的で使用するケースもあるでしょう。Twitterの元CEO「ジャック・ドーシー氏」が受けたSIMスワップ攻撃はこの一例です。
SIMスワップ詐欺は、どのように行われますか?
SIMスワップ詐欺は、いくつかの手順を踏んで実行されます。まず、攻撃者は標的の個人情報を集めます。さらに、情報を買う・ソーシャルメディアアカウントを照合する・フィッシング攻撃を仕掛けるといった手法を実行します。これらの情報を使って被害者になりすまし、携帯電話会社に電話をなくしたと主張して、新しいSIMカードに電話番号を移すよう説得します。
成功すると、詐欺師は電話番号の所有権を乗っ取り、通話・SMSだけでなく、特定のアカウントへのアクセス認証に必要なデータも傍受するでしょう。このようにして、攻撃者は被害者の銀行口座やソーシャルメディアプロフィールなどにアクセスする可能性があります。
SIMスワップ詐欺を防ぐにはどうすればよいですか?
電話の所有者は、SIMスワップ詐欺を防ぐため、暗証番号やセキュリティに関する質問を設定してください。電話番号に紐付けられた二要素認証の代わりに、スタンドアロンの認証アプリを使用すると、簡単にセキュリティ対策ができます。
また、オンラインでの基本ルールを徹底するのも効果的です。たとえば、フィッシングメールに注意する・電話番号に紐付けられた個人アカウントの数を制限するなどがあげられます。また、常に警戒を怠らず、身に覚えのない銀行取引やソーシャルメディアでのアクティビティなど、SIMスワップの兆候に注意する必要があります。
Kaspersky Endpoint Securityは、2021年に企業のエンドポイントセキュリティ製品の最高のパフォーマンス・保護・使いやすさに対して、AV-TEST賞を受賞しました。すべてのテストで、Kaspersky Endpoint Security は、企業にとって優れたパフォーマンス・保護・およびユーザビリティを示しました。