6月18日に「国民を詐欺から守るための総合対策」の報道で、「スマホ本人確認をマイナンバーカード一本化」という実際の施策とは異なるタイトルの話題が盛り上がった。5月には「偽造マイナンバーカード」を用いた「SIMスワップ」と呼ぶ手法で他人のスマートフォンの電話番号(SMS)を乗っ取り不正決済に利用される事件も話題になった。
いずれも、報道の「マイナンバーカード」という単語だけが注目され、SNSでも実際の施策内容や実態と懸け離れたコメントが多く見られた。
「SIMスワップ詐欺」と「マイナカードなども活用した本人確認の厳格化」の話題で共通しているのは、「2020年代のスマホはショッピングや決済、資産管理の中心にあり、スマホの電話回線契約やアカウントを狙う詐欺が増加している」という点だ。従来の携帯電話を使った詐欺といえば、架空契約した「飛ばし携帯」でのオレオレ詐欺や投資詐欺、ロマンス詐欺が中心だ。だが、2020年代になりスマホでの決済や資産管理の利用が増えたことから、「フィッシング詐欺」や「SIMスワップ詐欺」でアカウントや携帯電話回線を乗っ取って不正決済や送金に利用する詐欺が増えている。
そこで、政府をはじめ総務省、警察庁は詐欺や不正契約への根本的な対策として、2006年の法律に基づく本人確認方法にある「本人確認書類の提示と目視」を見直し、マイナンバーカードや運転免許証などの「ICチップを用いたより確実な真贋確認の義務化」の施策に向け動いている。もちろん、既に携帯電話事業者や携帯電話ショップも現在の法の規定の範囲で対策を講じているが、ICチップの真贋確認などを義務化することでより確実に穴をふさぐことができる。
この記事ではSIMスワップ詐欺の話題をもとに、その手口や技術、本人確認に関する法に関する基本的な部分から、現在進んでいる政府・国の動きまでを紹介していく。
●詐欺の実行者は「フィッシング詐欺」+「SIMスワップ詐欺」で金銭を狙う
SIMスワップ詐欺の前に、まず「フィッシング詐欺」について知ろう。近年急増している、SMSやメールで偽物のショッピングサイトや銀行などのサイトに誘導し、「利用情報の更新が必要」といった理由で「個人情報や電話番号、ID、メールアドレス、パスワード」などを入力させるものだ。
詐欺の実行者はこの方法で得た情報をもとに、被害者のショッピングサイトや銀行口座、クレジットカード、コード決済、仮想通貨などのサイトに不正ログインし、換金可能な品の購入といった不正利用や不正送金を実行する。
だが、近年は多くのサービスがログイン時に「電話番号(SMS)によるコード認証」を用いた2要素認証を求めており、IDとパスワードだけではログインできなくなりつつある。
そこで「SIMスワップ詐欺」だ。まず、詐欺の実行者はターゲットを決めて偽の本人確認書類を作成する。次に、携帯電話ショップの窓口を偽の本人確認書類でだまし、SIMカードの再発行など、SIMカードの発行が必要な手続きを実施して携帯電話回線を乗っ取る。あとは、被害に気付かれる前に各サイトの電話番号(SMS)によるコード認証を突破して不正利用や不正送金を実行する。
SIMスワップ詐欺の特徴は、警察庁の資料によると手間とリスクの問題か件数は少ないが、ターゲットを絞っているからか1件あたりの被害額は大きいようだ。対策としては、携帯電話事業者の本人確認や、本人確認書類の真贋確認を厳格化するしかない。携帯電話事業者やショップが独自に対応を進めても、少しでも穴があると被害を防げないからだ。
なお、SIMスワップ詐欺の被害を受けると、その後の対応が難しい。まず利用者のスマホが携帯電話ネットワークにつながらなくなるが、この時点では通信障害やスマホの故障といった可能性もあり原因を断定できない。そこで携帯電話会社へ問い合わせるのだが、電話回線を利用できないので本人確認書類を持って携帯電話会社のショップで直近の手続きを調べる必要がある。実際に被害を受けた場合は警察での手続きはもちろん、利用している各ショッピングサイトや銀行、クレジットカード会社の被害状況の確認と停止も必要だ。
●本人確認書類の目視だけでは偽造技術に追い付けない
SIMスワップ詐欺を防ぐには、携帯電話ショップ店頭での本人確認の徹底が必要だ。だが、民間の携帯電話ショップで本人確認を徹底するには「本人確認が必要な理由と、どういった手段が認められるのか」の担保が必要となる。
そこで、2006年施行の「携帯電話不正利用防止法※」が定められている。当時の携帯電話を用いた特殊詐欺や匿名の不正契約(飛ばし携帯)の増加に対応するための法律だ。これ以後の契約は「本人確認書類の提示」と「本人確認の記録事項を契約終了の3年後まで保存」が必須になり、多くの場合は「運転免許証」または「健康保険証+電気やガスの領収書」などの提示と目視によって本人確認が行われてきた。
問題は本人確認方法を定めても、偽造対策はまた別という点だ。偽造対策は携帯電話事業者や携帯電話ショップなどの自主的な対策で実施することになる(総務省や警察庁との連携があるとはいえ)。もちろん昔から、券面確認のノウハウや判別システムは存在した。だが偽造ノウハウや印刷技術が向上すると、特に健康保険証のように一般的には顔写真のない合成紙への印刷かつ種類の多い本人確認書類はセキュリティ上の穴になってしまう。
状況が大きく変わったのが2023年だ。マイナポイントなどの施策で、マイナンバーカードの人口に対する保有枚数率が70%を突破した。また、運転免許証は人口全体の約65%が保有している。これにより、ICチップを搭載したマイナンバーカードや運転免許証が多くの人に行き渡ったことになる。
さらに、2023年に携帯電話事業者各社が不正な契約締結や不正利用を理由に「健康保険証の本人確認書類としての利用を終了」した。現在利用できる本人確認書類のほとんどは、ICチップ対応の真贋確認システムを使えば偽造を見抜きやすいという状況が整った。
だが、法律上での本人確認方法は今も「本人確認書類の提示」による券面の目視確認が基本のままだ。これが、5月のSIMスワップ詐欺の原因となる穴になったともいえる。
この状況を根本的に変えるには、法改正により今後を見据えた新しい本人確認方法の規定が必要になる。
●スマホ契約の本人確認「マイナカード一本化は本当?」 2026年に向けた法改正の内容を知る
最後に、偽造マイナやSIMスワップ詐欺への根本的な対策となる、これからの本人確認方法についての展望を確認しよう。ここまで説明した「携帯電話不正利用防止法」の本人確認方法の見直しだが、2023年6月デジタル庁「デジタル社会の実現に向けた重点計画」の閣議決定から始まっている。
その後、総務省の「不適正利用対策に関するワーキンググループ」にて議論が始まり、現在は中間とりまとめ案まで進んでいる。6月18日に政府が発表した「国民を詐欺から守るための総合対策」は、この内容を反映したものだ。
この内容のうち、多くの人に影響する部分のみを分かりやすく抜粋したものが以下だ。最終的に変わる可能性はあるが、おおむねこの方向で進んでいる。
・「携帯電話不正利用防止法」見直しのおもな方向性
・対面での本人確認(ショップなど)
・本人確認書類のICチップの読み取り(真贋判定システムの利用など)を義務化
・ICチップを備える本人確認書類は「マイナンバーカード」「運転免許証」「旅券(パスポート)」「在留カード」「特別永住者証明書」。また、スマホ搭載マイナンバーカードへの対応も検討
非対面での本人確認(オンライン契約など)
・マイナンバーカードの公的個人認証(ICチップ+暗証番号)での本人確認に一本化
・顔写真と本人確認書類の撮影による本人確認を廃止
施行時期
・十分な準備期間をおいて、2025年度または2026年度に施行
ショップ店頭では、本人確認書類の確認方法が券面の目視から、ICチップを用いた真贋確認の義務化に変わるのが大きな変更点だ。不正契約やSIMスワップ詐欺の防止の効果を期待できるだろう。ICチップの読み取り方法は運用を考えると、暗証番号が不要の真贋確認システムの利用が基本になるのではないだろうか。
非対面のオンライン契約に関しては、マイナンバーカードの公的個人認証(暗証番号の入力が必要)に一本化する。顔写真と本人確認書類の撮影だと精巧な偽造品を見抜きづらいので妥当だろう。
この他、携帯電話回線の契約時に、銀行やクレジットカード会社の本人確認内容に依拠した本人確認が可能かも論点となっている。これは楽天モバイルが以前より求めているものだ。例えば楽天カードを持っており本人確認も済んでいる人の場合、楽天モバイルの携帯電話回線の契約時に楽天カードの本人確認結果を照会してスムーズに契約するというものだ。
ただ、銀行やクレジットカード会社の本人確認に関する「犯収法(犯罪による収益の移転防止に関する法律等)」も、「携帯電話不正利用防止法」と合わせて見直される流れだ。もし、銀行やクレジットカード会社の本人確認内容に依拠した本人確認が可能になるとしても、マイナンバーカードの公的個人認証の実施といった新しい基準での本人確認書類の再確認を求めることになりそうだ。
一方で、各社がポイント経済圏のアカウントに携帯電話回線やクレジットカード、銀行サービスなどをひも付けている現在、依拠による本人確認結果の照会を利用できれば、オンラインでも店頭でも複数のサービスを契約してもらう機会を創出できるかもしれない。「携帯電話不正利用防止法」の見直し内容には、対面でもマイナカードの公的個人認証(ICチップ+暗証番号)を進めるとあるが、本人確認の依拠が可能になれば各社のポイント経済圏単位で達成されるのかもしれない。
●詐欺対策の技術進化だけに頼らず身の回りのセキュリティを強化しよう
ここまで、偽造マイナカードとSIMスワップ詐欺から偽造対策、将来のマイナンバーカードを中心とした本人確認について説明してきた。
まとめると、スマホ回線が個人の決済や資産管理の中心になることで、フィッシング詐欺やSIMスワップ詐欺の被害が増加。2006年の法律にもとづく本人確認書類の提示と目視、券面の確認だけでは偽造対策が難しくなった。結果、政府は対策案としてショップ店頭ならマイナカードや運転免許証などを用いた顔写真の確認とICチップを用いた真贋確認、オンライン契約ならマイナンバーカードの公的個人認証を求めるよう法の見直しを進めているというわけだ。
その一方で、スマホと電話回線契約、アカウントには決済や資産管理の他、今後はマイナカードなど本人確認に必要な機能がより集中することになる。今でもそうだが、昔と違ってスマホは財布や、海外旅行でいうパスポート並みに慎重な取り扱いが必要だ。政府や社会の対策だけに頼らず、自身でもスマホのセキュリティ機能や紛失時に探す・ロックする機能やバックアップ機能の確認、新しい詐欺への対策など身の回りの対策も見直すようにしよう。