スマホを乗っ取る｢SIMハイジャック｣驚きの手口 偽造身分証で｢なりすまし｣被害増加の背景

警察庁の発表では、国内のSIMハイジャック事件は、フィッシング詐欺などによってなりすましに必要な情報を得ていると分析している。海外の事例では、SNSの書き込みを調べたり、さまざまな方法で各種の偽造IDが使われている。つまり攻撃の本質は、いかに本人になりすますかという点にあるのだ。

SIMハイジャックとは？ その仕組みと手順

SIMハイジャックとは、本人になりすまし、機種変更などの契約手続きを行うことによって、その電話番号が書き込まれたSIMカードを第三者（犯罪者）が入手することで成立する。

持ち主のあずかり知らないところで、自分名義のSIMが作られ、不正な送金やクレジットカード決済、暗号資産や個人情報などを盗み出すサイバー攻撃ということができる。

スマホ本体が変わっても、SIMに書き込まれた電話番号が同じであれば、すべての通信は電話番号と紐づいた契約者のものとして扱われる。つまり、本人になりすましてSIMの再発行や機種変更を行えば、スマホを乗っ取ることができるというわけだ。

インターネットバンキングやオンライン決済などでは、認証コードを携帯電話のSMSで送ってくることがある。通常は、自分のスマホに送られてくるので、覚えのないログインや決済はここで気づくことができる。

しかし、電話番号はすでに乗っ取られているので、ワンタイムパスワードやパスコードは犯人のスマホに送られることになる。

この状態で標的のメールアドレスがわかれば（なりすましに成功している時点で、氏名、生年月日、住所などは把握しているはず）、インターネットバンキングや各種サービスのログイン、パスワードを含む設定変更が可能になってしまう。

Apple IDやGoogleアカウントにログインできれば、ブラウザなどに保存されたSNSのログイン状態を引き継げることにもなる。生年月日などがわかっているので、誕生日や住所、車のナンバーなどを利用した弱いパスワードは破られる可能性もある。

どうやって本人になりすますのか

なりすましは、相手になりすましを悟られなければ成功する。対面で本人の家族や知り合いをだますのは簡単ではないが、そうでなければ対面、オンラインともにハードルは下がる。

一般的な本人確認では、氏名と生年月日を証明するものがあれば本人とみなすことができる。これに住所や電話番号などが加われば個人はほぼ識別でき、顔写真が入った証明書（免許証、パスポート、マイナンバーカードなど）であれば、さらに精度は上がる。