あなたのスマホを乗っ取る｢SIMスワップ｣の脅威

ここ最近、ニュースなどで耳にするようになった犯罪に「SIMスワップ」がある。

「SIM」とはスマートフォンのなかに挿入されている、電話番号などの契約情報が記録されているICチップカードのことだ。「スワップ」は文字通り、交換するという意味だ。

つまり、あなたのスマートフォンの中に入っているSIMカードを第三者の悪者が乗っ取ってしまうことを「SIMスワップ」という。突然、携帯電話が使えなくなり「また通信障害かな」と思っていると、気づいたときにはモバイルバンキングで預金が引き出されていたりする。

PayPayを勝手に使われた

SIMスワップという言葉が一気に広まったのは今年5月のことだ。自民党所属の大阪府八尾市議会議員・松田憲幸氏が自身のXを通じてSIMが乗っ取られる被害を報告。PayPayで5万円の残高をチャージされ、PayPayに紐付いたクレジットカードで225万円もするロレックスを購入されていたのだった。

【2024年9月2日14:20追記】初出時、誤りがあったため上記のように修正しました。

これまでPayPayなどのスマホ決済サービスはセキュリティ面の対策を強化してきた。

単にIDとパスワードを盗まれただけでは、第三者がログインして、勝手に決済をしたりチャージすることはできない仕様となっている。そうしたログインをする際には必ずと言っていいほど、多要素認証として、携帯電話番号に対してショートメッセージが送られたり、ある番号に番号通知で電話させるような手順が盛り込まれている。

IDとパスワード、さらに唯一無二である携帯電話番号と紐付けることで、本人確認を強固なものにしていた。

しかし、今回の事件では、本人確認手段として最善とされていた「携帯電話番号」もまるごと盗まれた。SIMスワップによって、第三者が勝手に他人の携帯電話番号を使い、本人確認に必要なショートメッセージを受信していたのだ。

では、なぜ第三者が勝手に人様の携帯電話番号を盗むことができたのか。

今回の事件では「偽造マイナンバーカード」が使われたと言われている。

マイナンバーカードの券面を偽造し、本人になりすまして、キャリアショップに「スマホを紛失してしまった」と再発行手続きを行ったか「他社から乗り換えたい」とナンバーポータビリティでの新規契約をしたとみられる。

キャリアショップの店員は単にマイナンバーカードの券面だけを見て、本人が契約に来たと思い込んだようだ。

最近、Netflixの「地面師たち」というドラマが話題だが、パスポートや運転免許証など、券面だけであれば簡単に偽造することが可能だ。ただし、券面の写真やすかし、ICチップを埋め込むことはできても、ICチップの中身まで偽造することは不可能だ。

キャリアショップでICチップの中身まで確認すれば、SIMスワップは起きなかったと思われるが、本人と思われる人を前にして、そこまで厳密な本人確認をしなかったようだ。

マイナンバーに一本化するのが理想だが…

一部のキャリアでは「直近では（SIMスワップのような）報告は受けていない。数年前に同じような疑わしい案件があったため、店頭での本人確認をしっかりと強化してきた」（KDDI、髙橋誠社長）と対策を万全にしてきたところもある。

そんな中、デジタル庁では2024年8月20日、マイナンバーカードを使った対面での本人確認を可能とする「マイナンバーカード対面確認アプリ」の配信をiOSとAndroid向けに開始した。

このアプリを起動すると、まずマイナンバーカードの券面を撮影。さらにスマートフォンのNFCポート部分をマイナンバーカードに当てると、ICチップに記録されている情報を表示させることができる。これにより、券面とICチップの情報が合っているかの確認ができるというわけだ。

今後、キャリアのオンラインショップでは本人確認はマイナンバーカードに一本化される。ただ、街中のキャリアショップ、リアル店舗ではマイナンバーカードだけでなく、運転免許証や在留カードでの本人確認も行っていくという。

SIMスワップの被害をこれ以上拡大させないためにも、リアル店舗でもマイナンバーカードによる本人確認に一本化するのが理想だ。だが、一方で「マイナンバーカードの取得は任意のはず。携帯電話契約時の一本化は強制的に取得の義務化につながる。おかしい」という反対論も根強いため、一筋縄ではいかないようだ。

携帯電話契約時の本人確認については、事業者や関係省庁の思惑が交錯する。

警察庁としてはスマートフォンが犯罪に利用されるのを防ぐため、本人確認の厳格化を求めている。一方でキャリアとしては、他社からユーザーを少しでも取り込みたいため、本人確認はできるだけ簡素化したいというのが本音だ。

特に2020年に第4のキャリアとして新規参入した楽天モバイルは昨年まで契約者の獲得に苦労していた。

実際「料金プランの安い楽天モバイルを契約しようと思ったが、本人確認が難しくて諦めた」という人がおり、楽天モバイル事業の赤字に苦しむ三木谷浩史会長にとって頭痛の種であった。

本人確認を簡素化して契約者数を伸ばした

オンラインで携帯電話会社を契約するには、運転免許証やマイナンバーカードなどをスマートフォンのカメラで撮影し、さらに自分の顔を撮影しつつ、顔を横に振ったり、まばたきしたりと結構、面倒な作業が必要となる。その段階で、操作が上手くいかず、挫折する人がとても多いのだ。

そこで、楽天モバイルは2023年、すでに楽天銀行や楽天証券、楽天生命のいずれかを契約している人は「本人確認済み」として、楽天モバイルの新規契約時の本人確認書類の撮影、提出を不要とした。

これにより、本人確認の手続きが大幅に簡素化。同時に法人契約やキャンペーンなどが功を奏し、2024年から楽天モバイルの新規契約数が一気に伸びることになった。

プラスチックによる物理的なSIMカードではなく、契約情報をスマートフォンに直接書き込むことで通信できる「eSIM」に対応する機種も増えている。オンライン契約とeSIMを組み合わせることで、ショップに行かなくても簡単にキャリアを乗り換えることができるため、ユーザーにとっても利便性は高い。

ただ、一方で、本人確認が手薄な状態でeSIMを発行すると、厄介なことになると懸念するキャリアもある。

KDDIの髙橋誠社長は「eSIMに関してはネットで非常に簡単に再発行できてしまう事業者がいると認識している。このあたりについては総務省に指導していただきたい。乗り換えの推進よりも重要な課題ではないか」と指摘する。

乗り換えやすさを重視し、本人確認が手薄になれば、結果として、犯罪に利用される可能性が増してくる。

キャリア間の競争を促進しつつ、いかにSIMスワップを防いでいくか。難しい舵取りが迫られているのだ。

（石川 温 ： スマホジャーナリスト）