スマホの電話番号を乗っ取られる「SIMスワップ」被害が増加 求められる対策とは？

　ここ最近、「SIMスワップ」「SIMハイジャック」といった言葉が世間を騒がせている。一般に知られるようになったきっかけは、4月に起こった東京都の都議会議員と、大阪府八尾市の市議会議員の被害だ。

●SIMカードの乗っ取りで200万円を超える被害

　市議会議員のケースでは、議員のソフトバンク携帯電話が、何者かによって高額な最新機種に機種変更され、PayPayを使い込まれたり、200万円以上もする腕時計を購入されたりしたことがX（旧Twitter）に投稿された。

　議員はまず、自分の携帯電話が圏外で使えなくなった。当初、電波障害をうたがったという。しかし、そのような状況ではないことを確認し、原因を調べに八尾市のソフトバンクショップを訪れたところ、名古屋市のショップで最新のiPhoneに機種変更されていたことが分かった。

　また、PayPayに5万円をチャージされ、名古屋市内でほぼ使われたほか、ネットでの買い物やコンビニでのかざす決済で使えるソフトバンクカードのオートチャージもされてしまった。金額は13万円分という。さらには携帯電話を停止しているにもかかわらず、225万円のロレックスのショッピングローンが通ってしまったという。

　これについて、ソフトバンクの宮川潤一社長は5月9日の決算会見で陳謝した。店舗での本来のオペレーションでは、マイナンバーカードの原本の確認と、本人確認の二重チェックを行っているが、一部の店舗でその運用が不十分だったと説明。今後は二重チェックを再徹底し、再発を防止するとした。具体的な防止策は開示されなかったが、今のシステムを改造して順次、店舗に導入するという。

●そもそも「SIMスワップ」とは？

　ところで、被害の原因となったSIMスワップやSIMハイジャックとはどういったものか。

　犯罪者は身分証を偽造して携帯電話の所有者になりすまし、機種変更やSIMの紛失、MNPなどを理由に携帯電話のSIMカードを再発行することで、被害者のSIMカードを乗っ取ってしまうという犯罪だ。海外で2020年頃から増え始め、日本でも2022年から確認されている。

　SIMカードが乗っ取られると、被害者は携帯電話が使えなくなる一方、犯罪者は携帯電話番号にひも付けられているアカウントで各種サービスへログインできるようになり、SMS認証を突破できる。なんらかの方法でIDとパスワードを知っていれば、SMSでの二要素認証を突破し、オンラインバンクへの不正アクセスやクレジットカードの不正利用もできるようになってしまう。