｢騙されるヤツがバカ｣と思う人こそバカ…気づけばネット銀行口座998万円が蒸発する携帯番号"乗っ取り手口"

※写真はイメージです - 写真＝iStock.com／simon2579

知らない間に携帯電話の番号が乗っ取られ、携帯電話がつながらないと気づいたときには、自分の銀行口座から大金が不正送金されていた――。そんな被害が増えている。名前や生年月日、電話番号などの個人情報が大量漏洩、といったニュースが多い昨今、これはもはやひと事ではない。いったい何が起きているのか、被害の詳細をジャーナリストの浅井秀樹さんがリポートする――。

■「SIMスワップ詐欺」知らぬ間に携帯番号乗っ取られる

携帯電話の端末には通話・通信を可能にするSIMカードが差し込まれている。他人の携帯電話の番号を乗っ取る犯人は、後述する方法などで不正に入手したその人物の個人情報を利用して運転免許証などを偽造した身分証明書を用意し、顔写真だけを犯人のものに入れ替えて所有者になりすます。これは完全にプロの手口で、誰もが標的にされる恐れがある。

こうしたニュースに対して「騙されるヤツがバカ」と冷たい反応をする向きも少なくないが、取材者としてはそんなふうに思う人こそバカ、そう強く警鐘を鳴らしたいのだ。

犯人は所有者になりすまし、携帯電話の端末を失くしたとうそをついて携帯電話会社にSIMを再発行してもらい、用意した携帯電話の端末に再発行されたSIMを差し込むことで、あたかも所有者のように携帯電話の番号を自由に使うことができる。一方、所有者の携帯電話は通話・通信が不能になる……。

この一連の犯罪は「SIMスワップ詐欺」と呼ばれている。

SIMはNTTドコモ、ソフトバンクなどの携帯電話会社が契約者に提供する。そこには電話番号などの契約者情報が記録されており、端末に差し込むことで通話・通信が可能になる仕組みだ。

最近はインターネットバンキングが急速に普及している。銀行の窓口やATM（現金自動預け払い機）に行かずとも、パソコンやスマートフォンでIDやパスワードを入力すれば残高照会や振込ができる。その際、本人確認のためにセキュリティを高める2段階認証の手段によく使われるのがSMS（ショートメッセージシステム）だ。携帯電話の番号に数桁の数字などのワンタイムパスワードがショートメールで送られてくる。ネットバンキングを利用するにはIDとパスワードに加え、このワンタイムパスワードを入力するとログインができる。

■60歳男性の携帯番号を乗っ取られ口座から1000万円が

他人のネットバンキングを不正利用する犯人は、銀行口座の個人情報の収集だけでなく、2段階認証を突破するため、携帯電話の番号を乗っ取ることも必要になっている。

SIMスワップ詐欺が世の中に知られるようになったのは、昨年10月16日付の神戸新聞NEXTの報道と、情報通信分野に詳しい岡田崇弁護士はいう。報道によると、神戸市の会社経営の男性（60）が昨年7月下旬、携帯電話番号を乗っ取られ、銀行口座から約1000万円が引き出された。携帯電話会社や銀行へ問い合わせると、本人確認をするための運転免許証も何者かによって偽造されていたことがわかった。

写真＝iStock.com／Yusuke Ide

※写真はイメージです - 写真＝iStock.com／Yusuke Ide

この男性はKDDI（au）と契約していた。携帯電話を取り出して電話をかけようとしたが、通信音がせず、アンテナが1本も立っていなかった。当初は、よくある通信障害が起きているのだろうと考えていた。au店舗を訪ねると、男性を名乗る男がすでに来店し、契約を解除して、同じ電話番号のまま、別の携帯電話会社に乗り換えていたことがわかった。その際には偽造免許証を本物と信じて本人確認をしていたという。男性の銀行口座からは、1日に引き出せる上限1000万円に近い998万円が引き出されていた。これが報道内容の概要だ。

大阪弁護士会消費者保護委員会に所属する岡田弁護士は、この事案と同時期に同じようなSIMスワップ詐欺に遭った被害者の相談を受けている。被害者はNTTドコモ、三井住友銀行を利用しており、預金300万円が不正に出金されていた。

「担当した事案では銀行が被害者に補償しましたが、銀行から支払いを受けるまでに3カ月以上かかりました。銀行が被害状況について関係先などへ調査するのに2、3カ月くらいはかかります。何カ月かはかかりますが、被害者に落ち度がなければ、銀行はだいたい補償しているのではないでしょうか」（岡田弁護士）

SIMスワップ詐欺は国内各地で起きている。読売新聞の報道によると、愛知県警が今年1月、携帯電話販売店で「スマホを紛失した」と偽り、SIMカードの交付を受けた2人を詐欺容疑などで逮捕しており、被害者のネット銀行口座から約600万円が不正に引き出されていたという。携帯電話販売店で本人確認の際には偽造免許証を提示し、被害者の氏名など個人情報が記載されている一方で、顔写真は犯人のものだったという。

国内各地に被害が広がっており、たとえば宮城県警や群馬県警はそれぞれホームページで、SIMスワップ詐欺に注意を呼びかけている。その手口を次のように紹介している。

ネットの闇バイト募集などに応募したものが、免許証などの偽造身分証明書を使い、本人になりすましてSIMの再発行の手続きをする。再発行されたSIMを使って、本人名義のネット銀行に不正アクセスし、SMSで2段階認証も突破して、不正送金させるという。

■フィッシングサイトが精巧で見分けるのは極めて困難

SIMスワップ詐欺は海外で先行していたようで、現地報道を見ると、数千万円とか数億円規模の被害も出ている。岡田弁護士は、昨夏ごろから国内でも次々に発覚するようになったという。このようなSIMスワップ詐欺は、ネットバンキングで銀行口座から不正送金させるための手段の一つとなっている。

「SIMスワップ詐欺の前段階にはフィッシング詐欺があります。不正送金させないために、ネットバンキング対策をしっかりとして、個人情報を漏らさないようにする必要があります」

こう話すのはシニアリスクコンサルタントの濱田宏彰・セコムIS研究所研究員。フィッシングとは、クレジットカード会社や銀行を装ってメールを送りつけ、本物そっくりの偽サイトに誘導して、名前やID、パスワード、暗証番号などの個人情報を入力させて詐取するもの。フィッシング対策協議会では「情報確認のため」などと巧みに偽リンクをクリックさせるなどと、典型的な手口を紹介して注意を呼びかけている。

フィッシング対策協議会はフィッシング詐欺の見破り方について質問を受けるが、「最近のフィッシングサイトはとても精巧につくられているため、確実に見分けることは非常に困難」としている。

そこで、日ごろから利用しているサービスにログインする際は「いつもの公式アプリや公式サイト」から開くように習慣づけるよう心がけ、くれぐれも怪しいメールなどを開かないように注意喚起している。

警察庁の犯罪統計をみると、ネットバンキングの不正送金は2020年以降、発生件数、被害金額とも減少傾向が続いていたが、22年下半期に急増した。22年は発生件数が1136件、被害金額が約15億円と、いずれも3年ぶりに前年比で増えている。被害の多くがフィッシングによるものとみられている。今年上半期は発生件数が2322件と、年間件数でみても過去最高となり、被害金額が約30億円と年間の過去最高に迫る勢いになっている。

フィッシング対策協議会のまとめで、22年のフィッシング報告は96万8832件で、前年比84％増と右肩上がりで急増している。今年上半期も前年同期比で18％増と、勢いがおさまらない。

警察庁が検知したサイバー空間の探索行為などとみられるアクセスは、ほとんどが海外を発信元としている。警察庁は検知したアクセスの多くが、脆弱(ぜいじゃく)性のある機器を探し出し、サイバー攻撃する目的とみている。

SIMスワップによるネットバンキングの不正送金事件が相次いでいることについて、岡田弁護士は「携帯電話会社の本人確認が不十分であり、ネットバンキングも甘すぎる」と話す。銀行側などが本人確認のやり方を厳格にするほど、利用者側が面倒になってネットバンキングの利便性が悪くなるため、対策を進める難しさもある。

写真＝iStock.com／west

※写真はイメージです - 写真＝iStock.com／west

■主犯はおそらく海外在住、免許証も海外で偽造

一方、実行犯である「出し子」以外は「おそらく海外にいるのではないか」と岡田弁護士は話し、免許証も海外で偽造しているのではないかとみている。実行犯は捕まっても、海外から指令を出している黒幕は捕まりにくい。

警察庁はSIMスワップによるネットバンキングの不正送金が増加しているとして、対策に乗り出している。昨年9月には総務省と連携し、携帯電話販売店での本人確認の強化を要請し、今年2月までに大手事業者で要請への対応を完了したという。今年上半期のSIMスワップによる不正送金の被害は激減したとも。

SIMスワップによるネットバンキングの不正送金について、濱田さんは「まだなくならないだろう。官民でがんばって減らせても、犯人が完全に捕まっていないのではないか。別の手口が出てくる可能性もあるかもしれない」とみている。

こうしたSIMスワップによるネットバンキングの不正送金に対して、個人はどのような対策をすればいいのだろうか。

群馬県警のサイトでは、「身に覚えのないメールなどを開かない」「怪しいサイトで個人情報を入力しない」「パソコンやスマホにセキュリティのソフトを導入する」「2段階認証にはSMS以外の生体認証などを導入する」などとしている。

銀行口座関連の情報が漏れると、そこから携帯電話会社が引き落とす料金も、電話番号も筒抜けになる可能性がある。一方、今年10月にはNTT西日本の子会社が、約900万件の個人情報を元派遣社員が不正流出させていたと明らかにしている。東京商工リサーチは、上場企業とその子会社で22年の個人情報漏洩・紛失事故が150社、165件で、約593万人分に達したとしている。電話番号などの個人情報はさまざまな形で漏れている。

写真＝iStock.com／masamasa3

※写真はイメージです - 写真＝iStock.com／masamasa3

濱田さんは「できることは十分にやったほうがいい。たとえば、スマホにセキュリティのソフトを入れている人はまだ少ないのではないか。パソコンのOS（基本ソフト）のアップデートなど、対策を二重、三重にしておいたほうがいい」と話す。

犯罪の被害に遭うと、金銭的な損害だけでなく、「メンタルもやられる」と濱田さんは語る。たとえば、泥棒に入られたことが嫌で、その家に住みたくなくなる人がいるという。

くれぐれも、対策をしっかりとるほか、携帯電話が使えなくなったと被害に気づいたときは、迅速で的確な行動をとれるようにしておきたい。焦って関係の連絡先を探し出そうとしても、見つかりにくいことがある。

濱田さんは、必要な連絡先をメモしておき、持ち歩くのも一つの方法という。事前の対策のほか、被害後に事態が大きくならないように、事後の対策も大切になる。

----------

浅井 秀樹（あさい・ひでき）
フリーライター
金融・経済系の国内出版社や海外通信社などの報道現場で数十年にわたり取材・執筆。数年所属した『週刊朝日』が2023年5月末で休刊し、フリーとなる。金融・経済のほか、政治や社会・福祉などの分野でニュースや社会的課題、新潮流などを紹介する記事を手がける。

----------

（フリーライター 浅井 秀樹）