SIMスワップ詐欺は、スマホに触れることなく電話番号を盗み、銀行口座や仮想通貨ウォレットを空にする攻撃だ。マルウェアは不要で、キャリアの窓口スタッフを騙すソーシャルエンジニアリングだけで成立する。日本でも2022年に78件・約3.9億円の被害が確認されており、近年は楽天モバイルでeSIMの不正再発行事案が相次いでいる。
この記事では、SIMスワップの攻撃フロー、気づくためのサイン、そして今日から実施できる具体的な防御策を解説する。
SIMスワップの仕組みと攻撃フロー
攻撃の5ステップ
SIMスワップ攻撃は、おおよそ次の流れで進む。
-
情報収集: 攻撃者は被害者の氏名・住所・生年月日・電話番号・口座番号などを事前に入手する。情報源はデータ漏洩、フィッシングメール、SNSの公開プロフィール、ダークウェブ上の流出データなど多岐にわたる。
-
なりすまし: 攻撃者はキャリアのカスタマーサポート(電話・チャット・店頭)に連絡し、「SIMカードを紛失した」「スマホを機種変更したい」などと主張して被害者に成り代わる。
-
キャリアへのソーシャルエンジニアリング: 収集した個人情報を使って本人確認を突破する。対応するスタッフが確認手続きを適切に行わなかった場合、SIMの差し替えが実行される。
-
電話番号の乗っ取り: 被害者のスマホは即座に圏外になる。攻撃者の端末がその電話番号へのすべての着信・SMSを受け取るようになる。
-
アカウント乗っ取り: 攻撃者はメール・銀行・仮想通貨取引所などで「パスワードを忘れた」手順を実行する。SMS経由のリセットコードが攻撃者に届き、数分以内にアカウントを完全に制御される。
なぜSMS二段階認証が弱点になるのか
SMS二段階認証はセキュリティの「第2の鍵」として設計されたが、SIMスワップが成立した瞬間に逆効果になる。電話番号を奪われた後は、その保護機能ごと攻撃者に渡るからだ。これが、セキュリティ研究者がSMS 2FAを「高価値アカウントには不十分」と評価する理由だ。
日本での被害事例
2022年の急増と規制強化 警察庁の統計によると、2022年前半は15件・約1.2億円だった被害が、後半には63件・約2.7億円に急増した(通年78件・約3.9億円)。2022年9月に警察庁と総務省が連携してキャリアに本人確認の強化を依頼し、2023年上半期には4件・約3,400万円まで激減した。
神戸の事例(2022年7月) 被害者を名乗る人物がキャリアショップを訪れ、偽造した運転免許証を使ってMNP手続きを行い、インターネットバンキングから998万円が不正送金された。
政治家への標的型攻撃(2024年) 2024年4月に東京都議会議員、同4月末(4月30日)に大阪の八尾市議会議員もSIMスワップ被害を受けた。議員は氏名・住所・電話番号などが公開情報として入手しやすく、マイナンバーカードの偽造に悪用された可能性が指摘されている。
楽天モバイルのeSIM不正再発行(2024年) 2024年4月、楽天モバイルはフィッシングサイトで盗んだ楽天IDを使ったeSIMの不正再発行が多発していることを公表した。楽天モバイルのeSIMはオンラインで比較的容易に再発行できる仕組みであったことが被害拡大につながった。物理SIMの店頭偽装だけでなく、eSIMのオンライン不正再発行という新しい攻撃経路が日本でも確認された事案だ。
被害に気づくサインと緊急対応
今まさに攻撃されているサイン
- 突然の圏外: 電波が届くはずの場所で「圏外」「SOS」表示になる。これが最も信頼できるリアルタイムの兆候。
- キャリアからの変更通知: SIM変更やプロファイル再発行を受け付けたという連絡が届く。
- アカウントのロックアウト: 操作していないのに「パスワードが変更された」「新しいデバイスでログインがあった」とアラートが届く。
- 友人から「電話が繋がらない」と言われる: 着信そのものが攻撃者の端末に向かっている状態。
被害を疑ったときの緊急手順
- 別の電話からすぐにキャリアへ連絡する: 自分のスマホは使えないため、固定電話・家族の端末・公衆電話を使う。SIM乗っ取りの事実を伝え、回線を停止してもらう。
- メールのパスワードを最優先で変更する: メールアカウントは他の全サービスのパスワードリセットに使われるため、最初に対処する。別デバイスからログインし、他のデバイスのセッションをすべて無効化する。
- 銀行・証券・仮想通貨口座のパスワードを変更する: 既存のログインセッションも無効化する。
- 警察と金融機関に届け出る: 最寄りの警察署または都道府県のサイバー犯罪相談窓口に被害届を出す。利用している金融機関にも不正利用の申告を行う。
今日からできる5つの防御策
1. キャリアのアカウントに口頭確認パスワードを設定する
これが単独で最も効果の高い対策だ。日本の大手キャリアでは、窓口や電話での手続き時に本人確認用の口頭パスワード(カスタマーサポートが必ず確認する合言葉)を設定できる場合がある。誕生日・住所・電話番号など攻撃者が推測できる情報は使わないこと。設定できる場合はキャリアのWebサイトまたはアプリから行う。
2. SMS二段階認証を認証アプリに切り替える
高価値アカウントのSMS 2FAを、以下のいずれかに移行することを強くすすめる。
- 認証アプリ(Google Authenticator、Microsoft Authenticator、Authy): 時間ベースのワンタイムパスワード(TOTP)を端末ローカルで生成する。コードは電話番号ではなくデバイスに紐付くため、SIMスワップの影響を受けない。
- ハードウェアセキュリティキー(YubiKey等): 物理デバイスを直接接続またはNFCでタッチする。消費者向けでは最も強固な保護。
- パスキー: パスワードと2FAを統合した新しい標準規格。主要プラットフォームで2024〜2025年にかけて普及が進んでいる。
移行の優先順位: メールアカウント(他のすべてのパスワードリセットに使われる)→ 銀行・証券口座 → 仮想通貨取引所 → その他。
3. 楽天モバイルを使っている場合はeSIMの再発行設定を確認する
楽天モバイルでは、2024年のeSIM不正再発行事案を受けて本人確認の強化が実施された。利用中の場合は以下を確認・実施する。
- 楽天IDのパスワードを他のサービスと使い回していないか確認する。
- ログイン履歴を定期的に確認する。
- 楽天IDのユーザーIDを「メールアドレス以外」に変更する設定が楽天側から推奨されている。
- 楽天IDの二段階認証を認証アプリに移行する。
4. 個人情報の公開を最小限にする
攻撃者がソーシャルエンジニアリングに使う情報は、多くがSNSの公開プロフィールや流出データベースから入手される。
- SNSの電話番号・住所・生年月日の公開設定を「非公開」にする。
- フィッシング対策として、キャリアや銀行を騙るメール・SMSのリンクは絶対にクリックしない。
- 重要アカウント(銀行・メール)には、SNSや他のサービスと紐付いていないメールアドレスを使う。
5. デュアルSIM活用時のホームSIM管理
海外旅行で旅行eSIMを使う際、自分の日本の電話番号(ホームSIM)が無効化されていると、帰国後に2FA SMSが受け取れなくなる可能性がある。旅行中もホームSIMを有効に保ち、データ通信のみ旅行eSIMに切り替える設定にすることが推奨される。設定方法の詳細は初めての旅行eSIM完全ガイドを参照。
eSIMとSIMスワップリスクの関係
eSIMが防ぐリスクと防がないリスク
eSIMは物理SIMと比べて一部の攻撃経路を塞ぐ。
- 物理的に「SIMを紛失した」という口実がなくなるため、店頭でのなりすまし発行が難しくなる。
- eSIM有効化にはQRコード・アカウントパスワード・デバイス認証が必要で、店頭に来るだけでは手続きできない。
一方で、eSIM固有のリスクもある。楽天モバイルの事例が示すように、オンラインのeSIM再発行手続きのセキュリティが低い場合、フィッシングでIDを盗んだだけで不正再発行が可能になる。物理SIMでは偽造身分証が必要だったが、eSIMではパスワード1つで再発行できるケースがある。
結論: eSIMへの移行はセキュリティ向上に有効だが、認証アプリへの2FA移行と組み合わせてこそ意味がある。eSIM単体では安全を保証できない。
eSIMの仕組みと設定方法についてはeSIMとはを参照。
対策チェックリスト
| 対策 | 優先度 | 所要時間 |
|---|---|---|
| キャリアアカウントに口頭確認パスワードを設定する | 最優先 | 10分 |
| メールアカウントの2FAを認証アプリに移行する | 最優先 | 15分 |
| 銀行・証券口座の2FAを認証アプリに移行する | 高 | 15分 |
| 仮想通貨取引所の2FAをハードウェアキーまたは認証アプリに移行する | 高 | 30分 |
| SNSの個人情報(電話番号・住所・生年月日)を非公開にする | 中 | 15分 |
| 楽天モバイル利用者はeSIM再発行設定を確認する | 中(楽天モバイル利用者のみ) | 10分 |
単一の対策で完全な保護は得られない。「キャリアの口頭確認パスワード設定」と「認証アプリへの2FA移行」を組み合わせることで、SIMスワップ攻撃の大部分の経路を遮断できる。