あなたのスマホを乗っ取る｢SIMスワップ｣の脅威 本人確認に必要なショートメッセージを受信

携帯電話番号をまるごと盗まれる「SIMスワップ」とは？（撮影：今井康一）

ここ最近、ニュースなどで耳にするようになった犯罪に「SIMスワップ」がある。

【画像】大阪府八尾市議会議員・松田憲幸氏が自身のXを通じてSIMが乗っ取られる被害を報告

「SIM」とはスマートフォンのなかに挿入されている、電話番号などの契約情報が記録されているICチップカードのことだ。「スワップ」は文字通り、交換するという意味だ。

つまり、あなたのスマートフォンの中に入っているSIMカードを第三者の悪者が乗っ取ってしまうことを「SIMスワップ」という。突然、携帯電話が使えなくなり「また通信障害かな」と思っていると、気づいたときにはモバイルバンキングで預金が引き出されていたりする。

PayPayを勝手に使われた

SIMスワップという言葉が一気に広まったのは今年5月のことだ。自民党所属の大阪府八尾市議会議員・松田憲幸氏が自身のXを通じてSIMが乗っ取られる被害を報告。PayPayで5万円のポイントをチャージされ、PayPayに紐付いたクレジットカードで225万円もするロレックスを購入されていたのだった。

これまでPayPayなどのスマホ決済サービスはセキュリティ面の対策を強化してきた。

単にIDとパスワードを盗まれただけでは、第三者がログインして、勝手に決済をしたりチャージすることはできない仕様となっている。そうしたログインをする際には必ずと言っていいほど、多要素認証として、携帯電話番号に対してショートメッセージが送られたり、ある番号に番号通知で電話させるような手順が盛り込まれている。

IDとパスワード、さらに唯一無二である携帯電話番号と紐付けることで、本人確認を強固なものにしていた。

しかし、今回の事件では、本人確認手段として最善とされていた「携帯電話番号」もまるごと盗まれた。SIMスワップによって、第三者が勝手に他人の携帯電話番号を使い、本人確認に必要なショートメッセージを受信していたのだ。

では、なぜ第三者が勝手に人様の携帯電話番号を盗むことができたのか。

今回の事件では「偽造マイナンバーカード」が使われたと言われている。

マイナンバーカードの券面を偽造し、本人になりすまして、キャリアショップに「スマホを紛失してしまった」と再発行手続きを行ったか「他社から乗り換えたい」とナンバーポータビリティでの新規契約をしたとみられる。

キャリアショップの店員は単にマイナンバーカードの券面だけを見て、本人が契約に来たと思い込んだようだ。