ここ最近、「SIMスワップ」「SIMハイジャック」といった言葉が世間を騒がせている。一般に知られるようになったきっかけは、4月に起こった東京都の都議会議員と、大阪府八尾市の市議会議員の被害だ。
●SIMカードの乗っ取りで200万円を超える被害
市議会議員のケースでは、議員のソフトバンク携帯電話が、何者かによって高額な最新機種に機種変更され、PayPayを使い込まれたり、200万円以上もする腕時計を購入されたりしたことがX(旧Twitter)に投稿された。
議員はまず、自分の携帯電話が圏外で使えなくなった。当初、電波障害をうたがったという。しかし、そのような状況ではないことを確認し、原因を調べに八尾市のソフトバンクショップを訪れたところ、名古屋市のショップで最新のiPhoneに機種変更されていたことが分かった。
また、PayPayに5万円をチャージされ、名古屋市内でほぼ使われたほか、ネットでの買い物やコンビニでのかざす決済で使えるソフトバンクカードのオートチャージもされてしまった。金額は13万円分という。さらには携帯電話を停止しているにもかかわらず、225万円のロレックスのショッピングローンが通ってしまったという。
これについて、ソフトバンクの宮川潤一社長は5月9日の決算会見で陳謝した。店舗での本来のオペレーションでは、マイナンバーカードの原本の確認と、本人確認の二重チェックを行っているが、一部の店舗でその運用が不十分だったと説明。今後は二重チェックを再徹底し、再発を防止するとした。具体的な防止策は開示されなかったが、今のシステムを改造して順次、店舗に導入するという。
●そもそも「SIMスワップ」とは?
ところで、被害の原因となったSIMスワップやSIMハイジャックとはどういったものか。
犯罪者は身分証を偽造して携帯電話の所有者になりすまし、機種変更やSIMの紛失、MNPなどを理由に携帯電話のSIMカードを再発行することで、被害者のSIMカードを乗っ取ってしまうという犯罪だ。海外で2020年頃から増え始め、日本でも2022年から確認されている。
SIMカードが乗っ取られると、被害者は携帯電話が使えなくなる一方、犯罪者は携帯電話番号にひも付けられているアカウントで各種サービスへログインできるようになり、SMS認証を突破できる。なんらかの方法でIDとパスワードを知っていれば、SMSでの二要素認証を突破し、オンラインバンクへの不正アクセスやクレジットカードの不正利用もできるようになってしまう。
個々人がSIMスワップ詐欺を防ぐ方法としては、身分証を偽造できるような個人情報をさらさないこと、フィッシングメールやスミッシング(SMSを利用するフィッシング詐欺)に注意し、疑わしいリンクをクリックしないこと、二要素認証の方法を選べる場合は、SMS(電話番号)ではなくスマートフォンのアプリやワンタイムパスワードを利用すること、などが考えられる。
●根本的な解決は「JPKI」か
今回のSIMスワップの被害では、本人確認にマイナンバーカードが使われたことから、マイナンバーカードそのものに原因があるかのような報道も一部あったようだが、原因は本人確認が徹底していなかったことだ。本人確認がしっかりしていなければ、運転免許証でも同様の犯罪が起こる可能性がある。
事件を受けて、デジタル庁は、偽造マイナンバーカードを見分ける方法を盛り込んだ文書を民間事業者向けに配布した。本物のマイナンバーカードは、カード右上の「マイナちゃん」の背景がパールインキで印刷されており、見る角度によって緑色と桃色に見えることなどが文書には書かれている。
しかし、総務省の「不適正利用対策に関するワーキンググループ」の第3回会合で警察庁が配布した資料を見ると、携帯電話の不正契約では、一見して本物と見分けが付かないほど精巧に偽変造された本人確認書類が用いられることが多いとある。身分証偽造は国際的な犯罪組織が大掛かりに行っているようだ。
同ワーキンググループは、携帯電話の契約時、券面を偽変造した本人確認書類を使って不正に契約されることを防ぐため、マイナンバーカードの「公的個人認証(JPKI)」を活用する方向で検討を進めている。SIMスワップ詐欺について、多くの記事で識者が対応策として提言しているICチップを読み取る方法だ。
公的個人認証とは、マイナンバーカードのICチップに搭載された電子証明書を利用して、オンラインで利用者本人の認証や契約書などの文書が改ざんされていないことの確認を公的に行うこと。公的個人認証サービスの仕組みは、地方公共団体情報システム機構(J-LIS)によって運営されており、行政機関だけでなく、民間事業者(2023年6月1日時点で477社)の各種サービスにも導入されている。
ただ、公的個人認証サービスは、これまではオンラインでの本人確認を強化するために導入されてきた。
例えば現在、携帯電話のオンライン契約では、運転免許証やマイナンバーカードと自分の顔を撮影して本人確認する画像解析型本人確認の「eKYC」が採用されているが、デジタルアイデンティティ推進コンソーシアムは、eKYCには本人確認書類の真正性検証(validation)のプロセスがなく、身元確認の意味をなしていないと問題点を指摘している。今後、オンライン契約でeKYCは廃止され、公的個人認証で本人確認が行われていくことになる。
その一方で、対面での本人確認が不正のターゲットになる可能性も指摘されている。対面での本人確認にもICチップを読み取る公的個人認証サービスを導入するべきなのだが、読み取り機器やシステム開発が必要になる。
●コストの解決策は「スマホでICチップ読み取り」
MVNOのイオンモバイルを提供するイオンリテールは、マイナンバーカードによる公的個人認証に一本化する方向性に賛同し、オンライン契約だけでなく、対面においても同じ時期に公的個人認証を開始するべきとしている。一方で、そうなるとマイナンバーカードを読み取るための環境が必要になり、その環境を誰が用意するかが課題になるとも指摘。システムを開発する時間の確保、コストに対しての支援を求めている。
河野デジタル大臣は5月10日の記者会見で、「ICチップを読み取ることで更に厳格に本人確認ができる。民間でそのようなアプリがあれば、その使用を奨励したい。そういうものがなければ、デジタル庁で読取アプリを開発し、無償提供をしていきたい」と語っている。
大手キャリアは環境を自前で用意できるだろうが、デジタル庁が無償提供することで小規模事業者でもICチップでの本人確認ができるとなれば、ユーザーも事業者も一定の安心感は得られそうだ。