スマホの電話番号を乗っ取られる「SIMスワップ」被害が増加 求められる対策とは？

　個々人がSIMスワップ詐欺を防ぐ方法としては、身分証を偽造できるような個人情報をさらさないこと、フィッシングメールやスミッシング（SMSを利用するフィッシング詐欺）に注意し、疑わしいリンクをクリックしないこと、二要素認証の方法を選べる場合は、SMS（電話番号）ではなくスマートフォンのアプリやワンタイムパスワードを利用すること、などが考えられる。

●根本的な解決は「JPKI」か

　今回のSIMスワップの被害では、本人確認にマイナンバーカードが使われたことから、マイナンバーカードそのものに原因があるかのような報道も一部あったようだが、原因は本人確認が徹底していなかったことだ。本人確認がしっかりしていなければ、運転免許証でも同様の犯罪が起こる可能性がある。

　事件を受けて、デジタル庁は、偽造マイナンバーカードを見分ける方法を盛り込んだ文書を民間事業者向けに配布した。本物のマイナンバーカードは、カード右上の「マイナちゃん」の背景がパールインキで印刷されており、見る角度によって緑色と桃色に見えることなどが文書には書かれている。

　しかし、総務省の「不適正利用対策に関するワーキンググループ」の第3回会合で警察庁が配布した資料を見ると、携帯電話の不正契約では、一見して本物と見分けが付かないほど精巧に偽変造された本人確認書類が用いられることが多いとある。身分証偽造は国際的な犯罪組織が大掛かりに行っているようだ。

　同ワーキンググループは、携帯電話の契約時、券面を偽変造した本人確認書類を使って不正に契約されることを防ぐため、マイナンバーカードの「公的個人認証（JPKI）」を活用する方向で検討を進めている。SIMスワップ詐欺について、多くの記事で識者が対応策として提言しているICチップを読み取る方法だ。

　公的個人認証とは、マイナンバーカードのICチップに搭載された電子証明書を利用して、オンラインで利用者本人の認証や契約書などの文書が改ざんされていないことの確認を公的に行うこと。公的個人認証サービスの仕組みは、地方公共団体情報システム機構（J-LIS）によって運営されており、行政機関だけでなく、民間事業者（2023年6月1日時点で477社）の各種サービスにも導入されている。

　ただ、公的個人認証サービスは、これまではオンラインでの本人確認を強化するために導入されてきた。

　例えば現在、携帯電話のオンライン契約では、運転免許証やマイナンバーカードと自分の顔を撮影して本人確認する画像解析型本人確認の「eKYC」が採用されているが、デジタルアイデンティティ推進コンソーシアムは、eKYCには本人確認書類の真正性検証（validation）のプロセスがなく、身元確認の意味をなしていないと問題点を指摘している。今後、オンライン契約でeKYCは廃止され、公的個人認証で本人確認が行われていくことになる。