SIMスワップ詐欺とは│スマホ乗っ取り攻撃手口対策と確認方法を解説
2024/01/11参考:SECアカウント侵害の背後にSIMスワップ攻撃か、ビットコインETFフェイク発表で
契約者情報が記録されているスマートフォンのSIMカードを不正に入手し、電話番号を乗っ取る「SIMスワップ」と呼ばれる詐欺被害が増加しています。
本人が気付かない間にネットバンク経由で不正に送金されてしまうため、SIMスワップ詐欺に欠かせない個人情報を盗み取ろうとするフィッシング詐欺への対策が急務です。
本記事では、SIMスワップ詐欺の具体的な手口を確認し、騙されないための対策について解説していきます。
個人情報流出への対策はこちらから
この記事の内容は動画でも見られます↓
SIMスワップ詐欺とは?
SIMスワップ詐欺とは、スマホの契約者になりすまして再発行したSIMカードを使い、犯罪者の口座へ不正に送金する犯罪の手口です。
SIMスワップは別名「SIMハイジャック」「SIM分割」とも呼ばれているアカウント乗っ取り型の詐欺にあたり、世界各国で被害が広がり、最近では日本国内でも多数被害が確認されています。
SIMスワップ詐欺の危険性
複製したSIMカードを自分の端末に挿すだけで、通話記録やメッセージ履歴など、被害者のアカウント上の情報やデータすべてにアクセスできるようになります。
被害者のメールアドレスや携帯電話番号に紐づけられたアカウントに「パスワードを忘れた場合」や「アカウント回復」のリクエストを送ると、SMSの2段階認証で、アカウントにアクセスするためのリンクまたはワンタイムパスコードが被害者になりすました番号宛てにテキスト経由で送信されてきます。
犯罪者はそのコードでログインしてパスワードをリセットし、被害者の電話番号に紐づけられたアカウントを操作できるようになるため、簡単に被害者の銀行アプリにアクセスして別の口座へ送金することができてしまいます。
SIMスワップの危険性については、FBIからも警告文が発表されています。
SIMスワップ詐欺の手口
詐欺に遭わないために、まずSIMスワップ詐欺の具体的な手口から見ていきます。
以下、SIMスワップ詐欺の流れです。
1.被害者の個人情報をSNSやフィッシングメールを使って入手
2.入手した個人情報を基に、偽の運転免許証を作成
3.偽の運転免許証を使用して被害者になりすまし、携帯ショップでSIMカードを再発行
4.再発行したSIMカードを犯罪者が利用する携帯電話に挿入
5.犯罪者は自分の携帯電話で他人の電話番号やSMSが自由に利用可能な状態になる
6.被害者のネットバンクに不正ログインし犯罪者の口座へ送金
SIMスワップ詐欺の確認方法
SIMスワップ詐欺は被害者が気付かないうちに実行されますが、SIMカードが再発行されると元のSIMカードは使えなくなります。
・電話やメール、SMSの受発信ができなくなる
・回線が一定期間切断された状態が続く
・「圏外」表示が続く
上記のような状態が続いた場合は、SIMスワップ詐欺の被害に遭っている可能性を疑ってください。
SIMスワップ詐欺被害に遭った時の対処法
SIMスワップ詐欺の被害に遭っている可能性が考えられる場合は、以下の対応を行ってください。
・携帯電話会社へ連絡し、SIMカードが再発行されていないかどうか確認する
・SIMカードが再発行されていた場合は、再発行されたSIMカードの無効化とデータの復旧手続を取る
・所有しているネットバンクにアクセスし、パスワードを変更する
SIMスワップ詐欺の対策方法
犯罪者がSIMカードを複製するためには個人情報が欠かせないため、個人情報流出を防ぐことがSIMスワップ詐欺の対策方法につながります。
具体的に個人情報流出を防ぐ5つの対策を紹介します。
安全が確認できないWebサイト上で個人情報を入力しない
ネット上には、ECサイトや金融機関、SNSサイト、オークションやフリマを装った偽サイトが多数存在し、あの手この手でIDやパスワードなどの個人情報の入力を求めてきます。
URLバーに鍵のマークが表示されない暗号化されていないサイトはもちろんのこと、メールや他サイトからリンクをたどった場合はドメイン名をチェックし、本物かどうかの確認が取れるまで個人情報の入力を控えましょう。
個人情報は、なりすましメールやSMSから誘導されるフィッシング詐欺で取得されるケースが多いため、まずは詐欺の手口を知り、騙されないための対策が欠かせません。
フィッシング詐欺への対策方法の詳細はこちらで確認できます。
偽サイトの見分け方|詐欺被害を防ぐためのセキュリティ対策
SMS以外の二要素認証を利用する
セキュリティ強化に二要素認証は欠かせませんが、SIMスワップ詐欺のようにSIMを複製されてしまうとSMS認証も簡単にクリアされてしまいます。
顔や指紋のような「生体認証」、金融会社が提供するワンタイムパスワード生成機(トークン)など専用機器を使う「所有物認証」などを組み合わせるようにしましょう。
二段階認証の詳細はこちらで確認できます。
二段階認証とは?仕組みから注意点までわかりやすく解説
同じパスワードを使いまわさない
「インターネットの安全・安心ハンドブックVer 5.00(2023年1月に改訂)」によると、定期的なパスワードの変更は推奨しないと更新されました。
十分に複雑で使い回しのないパスワードを設定した上で、実際にパスワードを破られアカウントを乗っ取られたり、サービス側から流出したりした事実がないのならば、基本的にパスワードを変更する必要はありません。むしろ、パスワードの基準を定めず、定期的な変更のみを要求することで、パスワードが単純化したり、ワンパターン化したり、サービス間で使い回しするようになることの方が問題となります。
引用:「インターネットの安全・安心ハンドブック Ver5.00」内閣サイバーセキュリティセンター(NISC)
どんなに注意深く個人情報を管理していたとしても、利用中のサービスや関わりのある団体・企業から流出してしまう可能性も考えられます。
サービス別でパスワードを変えるのは面倒…という人は、強力で使い回しの必要が無い安全なパスワード生成・管理する「@niftyセキュア・プライバシー」の導入を検討してみてください。
「@niftyセキュア・プライバシー」は個人情報がインターネット上に流出していないか常に監視するため、流出を早い段階で検知でき迅速な対応が可能になります。
以下の記事で@niftyセキュア・プライバシーを紹介しています。
個人情報流出対策|メールアドレス登録だけで情報流出を検知・確認する方法
セキュリティソフトを導入・更新する
個人情報漏洩対策にはセキュリティソフトの導入が有効です。
大切な個人情報を守るためには、ウイルススキャンはもちろん、危険なサイトへのアクセスや誤操作、紛失・盗難といった過失による対策も不可欠です。
導入を検討している人には、AV-TESTの「Best Protection Award」を10年で7度受賞している、世界に認められたアンチウイルス製品「常時安全セキュリティ24」がおすすめです。
すでにセキュリティソフトを導入済みの人は、常に最新の状態に更新しておくようにしておきましょう。
SIMスワップ詐欺についてのまとめ
SIMスワップ詐欺への対策として、SMS以外の二段階認証を設定し、個人情報を盗もうとするフィッシング詐欺には十分注意を払い、万が一SIMスワップ被害に遭った場合は早急にSIMカードを無効化する、ということを覚えておきましょう。
「SIMスワップ詐欺」や「個人情報漏洩」に対する万全な予防策はありませんが、被害を早期発見し適切な対応をとることで、被害を最小限にすることができます。
さまざまな脅威から身を守るためにも、スマホとパソコンあわせて7台までインストールできる「@niftyセキュア・プライバシー」や「常時安全セキュリティ24」などのセキュリティツールの導入をぜひご検討ください。
デジタル家電専門店「ノジマ」で販売中の下記商品でも
SIMスワップ詐欺の対策ができます
・常時安全セキュリティ24プレミアム by NOJIMA
・常時安全セキュリティ24 年額パック by NOJIMA
※2024年1月時点の情報です。
個人情報漏えいを防ぐ5つの対策と流出してしまったときの対応方法
