スマホを乗っ取る「SIMスワップ詐欺」とは?手口と対策を徹底解説
海外で急増したスマホ乗っ取りの新手口が「SIMスワップ詐欺」です。予防・対策から、被害にあった場合の対応、日頃から注意すべきポイントまでご紹介。
ハッキングの手口や、スマホを乗っ取られた場合の被害想定、いざというときの対処方法について解説します。
目次
「SIMスワップ詐欺」とは?どんな手口?
テレビやネットのニュースでも取り上げられる機会が増えてきた「SIMスワップ詐欺」。
耳慣れない言葉ですが、じつは携帯電話やスマートフォンを持つすべての人に関係する、とても身近な犯罪です。
この記事では、「SIMスワップ詐欺」の手口や被害内容と、対策についてご紹介します。
そもそも「SIM(シム)」とは?
SIMスワップ詐欺の「SIM」は「SIMカード(Subscriber Identity Module)」のことで、スマートフォンに使われている部品の1つです。小さなICチップで、端末の契約者情報を記録しています。契約者情報とは、端末を契約している人の氏名、住所、生年月日、連絡先、および電話番号やセキュリティ情報など。スマホの持ち主を識別し、サービスを提供するための情報がほぼすべて含まれているのです。
私たちがスマホを買い替えたときも、このSIMカードを新しいスマホに挿入することで、元の電話番号や通信サービスを引き続き利用することができます。
SIMスワップ詐欺の手法
SIMスワップ詐欺では、このSIMカード内の情報を、持ち主が使っているスマホから別のスマホへスワップ(交換)してしまいます。「え、どうやって?」と思いますよね。スマホを紛失した際の、「SIMカードの再発行手続き」を悪用しているのです。
具体的には、犯人は次のようなステップで、SIMカード内の情報を別のSIMカードに移し替えます。
- 携帯会社の窓口に行き、「スマホを紛失したので、SIMカードを再発行してほしい」と伝える。
- 不正入手した個人情報や偽造した身分証などを使って本人確認を通過する。
- 契約者情報を記録したSIMカードが再発行されるので、手持ちのスマホに挿入して使い始める。
自分のスマホはどうなる?
SIMカードを再発行すると、安全のため、前のSIMカードは利用を停止させられます。つまり、第三者に勝手にSIMカードを再発行されてしまうと、自分の手元にあるSIMカードは使えなくなってしまうのです。
SIMカードが使えなくなると、電話がかけられなくなり、携帯会社が提供するネットワーク回線も使用できなくなります。もちろん、誰かからかかってきた電話を受信することもできません。「ネットがつながらない、電話も使えない・・・」という事態になって初めて、「何か異常なことが起きている」と気づく人も少なくありません。
いっぽう犯人は、手に入れた契約者情報を使って、元の持ち主の携帯番号やネットワーク回線を利用することができます。手元に自分の端末があるにもかかわらず、いわば「スマホを乗っ取られた」状態になってしまうのが、SIMスワップ詐欺の恐ろしさです。
SIMスワップ詐欺の発生件数
SIMスワップ詐欺が発生し始めたのは、2018年頃。背景には、スマートフォンの普及と通信技術の進化があります。買い物やお金の管理、ゲーム、SNSなど、スマホでできることが増えていくにしたがい、「スマホを乗っ取れば、持ち主のあらゆる個人情報にアクセスできる」という状況になってしまったのです。
SIMスワップ詐欺は、スマホの普及が早かったアメリカを中心に、海外で被害が拡大していきました。日本に上陸したのは2020年頃で、被害のピークを迎えたのは2022年です。この年の総被害額は約4億円にも上り、事態を重く見た警察庁と総務省は携帯電話事業者に対して本人確認の強化を要請しました。その結果、2023年の被害額は大きく減少しています。しかし今後は手口がさらに巧妙化し、被害も増えていくおそれがあります。
スマホを乗っ取られるとどうなる?
銀行口座から不正に出金
SIMカードに保存されているセキュリティ情報や、不正に入手したアカウント情報を利用して、ネットバンキングから不正出金されてしまうおそれがあります。多くのネットバンキングが利用している「ワンタイムパスワード」や「メールや電話での二段階認証」などの認証手段も、SIMスワップ詐欺の場合は犯人の手元にメッセージが届いてしまうため、容易にすり抜けられてしまうのです。過去には、数百万円もの大金を引き出されてしまった事例もありました。
ネットショップでクレジットカード不正利用
ネットショップに登録されているクレジットカード情報を利用して、勝手に買い物をされてしまうケースです。ブランド品や家電製品、ゲーム機器など、高額で換金性の高い商品が狙われやすく、被害額が大きくなりやすいのが特徴です。クレジットカードの限度額を低めに設定しておくことで、いざというときの被害リスクを抑えることができます。
ソーシャルゲームの不正課金、アカウント売買
ソーシャルゲームの課金をキャリア決済などで行っている場合、SIMカードの識別情報を利用して、ゲーム内通貨などを不正購入されるおそれがあります。さらには、そのアカウントを他のプレイヤーに売られてしまう可能性も。アカウントの売買は多くのゲームで禁止されているため、発覚した場合はアカウント自体が凍結されたり、二度とそのゲームを利用できなくなったりするケースもあります。
SNSでなりすまし
InstagramやX(旧Twitter)、FacebookなどのSNSを利用している場合、そのアカウントに犯人が不正にログインし、アカウントの内容を盗み見たり、持ち主になりすまして発信を行ったりする可能性があります。プライバシーを脅かされるだけでなく、他人への誹謗中傷や詐欺行為、コンピューターウイルスの送信などにアカウントを使用された場合、犯罪に巻き込まれるおそれもあります。
スマートロックを開錠
SIMスワップ詐欺の被害は、ネット上に留まらないかもしれません。SIMカードの識別情報をスマートロックの開錠に利用されるおそれがあります。
スマートロックとは、スマートフォンなどのデバイスを使って、玄関ドアや門扉の施錠・開錠ができるシステムのことです。鍵を使わずスムーズに開け閉めできるので、鍵の紛失や盗難を心配する必要がありません。
しかしSIMスワップ詐欺によってデバイスを乗っ取られてしまった場合、SIMカードを挿入したスマホで対応アプリにログインできてしまえば、ロック情報を引き継いだり、新しいデバイスとして登録したりできる可能性はあります。ご利用のスマートロックのデバイス登録方法を確認しておきましょう。
スマホを乗っ取る手口とは?
SIMスワップ詐欺の標的になるきっかけと、乗っ取りの手口についてご紹介します。
フィッシング詐欺
フィッシング詐欺とは、偽のウェブサイトやメールを使用して、多くの人の個人情報を集める詐欺行為の一種です。個人情報には、氏名、住所、メールアドレス、銀行の口座情報、クレジットカード情報などが含まれます。詐欺師がエサ(偽のウェブサイト、メール)を使って情報を吊り上げようとする手口から、フィッシング(魚釣り)詐欺と呼ばれるようになりました。
犯人は、フィッシング詐欺で得た個人情報から、SIMスワップ詐欺の標的を選び出します。とくに狙われやすいのは、銀行の口座情報やクレジットカードの情報が流出してしまった人です。標的を絞り込んだ犯人は、次のステップに移行します。
身分証明書の盗難、偽造
狙いをつけた標的に近づいて、身辺の情報を集めます。氏名、住んでいる場所、生年月日、勤務先・・・などの情報です。これらの情報をもとに、SIMカードの再発行に必要な身分証明書を偽造します。場合によっては、隙を見て盗難した身分証明書が使用されるケースもあります。
免許証や保険証などの身分証明書はきちんと保管し、もし紛失した場合は速やかに警察に遺失物届を出しましょう。
SIMカード自体をすり替える
海外でよく見られるケースですが、日本ではあまり事例がありません。
標的のスマホを盗み、中に入っているSIMカードを抜いて別のSIMカードにすり替えてから、気づかれないように標的へ返すという手口です。スマホごと盗むよりも、発覚が遅れやすいという特徴があります。現在はあまり日本では見られない手口ですが、窓口での本人確認の強化に伴い、今後増える可能性もあります。気を抜かず、スマホの管理を徹底しましょう。
異変に気づき、迅速に対応することが大切
「乗っ取り」は周到に準備されている
SIMスワップ詐欺によるスマホの乗っ取り(ハッキング)は、突然発生するものではありません。犯人はフィッシング詐欺から得た個人情報で標的を絞り込み、時間をかけて身分証の偽造や盗難を行ない、携帯会社の窓口で標的になりすまして、SIMスワップ詐欺を実行します。被害を防ぐためには、そもそもフィッシング詐欺などに気をつける、口座やクレジットカードの情報が流出してしまったら、すぐにIDやパスワードを変更して対応するなど、迅速でこまめな対策が必要です。
とくにパスワードは、定期的に変更することをおすすめします。パスワードを作成する際は、安全性を高めるために、次のポイントに気をつけてみてください。
- 12文字以上のパスワードを設定する
- 短い文章や単語を組み合わせる(例:I enjoy walking / Yama kawa hosi sora)
- 英字を大文字や数字、記号に置き換える
(例:I enjoy walking → IEnj0yw@k!ng/ yam kawa hosi sora →Y@m@KAwAh0s!S0r@)
元となる文章は、意味のあるものでも問題ありません。そのほうが長くても覚えやすいからです。ただし、文字の置き換えはできるだけ多く行いましょう。一見して元の文章がわからないくらいになれば、かなり安全性の高いパスワードといえます。
不審な気配に気づくことも大切
「最近、誰かに見られている気がする・・・」
「保険証が玄関の前に落ちてたけど、自分で落としたのかな?普段は財布に入れてるのに・・・」
「なんだか引き出しの中が、いつもと少し違うような・・・」
ほんの少しの違和感でも、「気のせいかも」と見逃さないことが大切です。とくに免許証や保険証などの身分証は、注意深く管理しましょう。一度紛失したものが後で出てきても、安心してしまうのは禁物です。かならず再発行の手続きを行い、古いものは返納しましょう。
身の回りのセキュリティ強化を
SIMスワップ詐欺は、インターネット上だけの犯罪ではありません。身辺を探られたうえで身分証の偽造や盗難を伴い、最悪の場合は自宅に侵入されるおそれもある、きわめて身近で危険な犯罪です。定期的なパスワードの変更や、フィッシング詐欺への警戒はもちろん、身の回りのセキュリティも強化していきましょう。自衛が難しい小さなお子さんや高齢のご家族がいらっしゃる場合は、24時間365日にわたってご自宅を見守るホームセキュリティの導入もおすすめです。
