スマホを乗っ取る？新手のスマホ詐欺とは

　キャッシュレス化がますます進み、スマホで取引するのがもはや当たり前の時代になってきましたが、同時にスマホを使った詐欺もここ数年で急増しています。

　中でも昨今、問題になっているスマホ詐欺が「SIM（シム）スワップ詐欺」です。主に海外で流行している詐欺なのであまり聞きなじみがないかもしれませんが、ここ最近、日本でも発生事例があり、警戒すべき事案となっています。

　今回は新手のスマホ詐欺「SIMスワップ詐欺」について解説します。

SIMスワップ詐欺とは

　SIM（Subscriber Identity Module）とは、スマホに挿入しているSIMカードのこと。そのスマホの契約者の氏名や住所、生年月日、電話番号、メールアドレス、アカウント情報などの個人情報が含まれたICチップです。

　通信操作の際、SIMカードに含まれる個人情報にアクセスすることで、電話やメール、サイト閲覧、SNS、オンライン決済などのサービスを受け取れるようになっています。

　新しくスマホを買い換えても電話番号を変えることなく、そのまま元のサービスを受けることができるのは、SIMカードを新しいスマホへと差し替えているためです。逆に言えば、SIMカードがないと電話もメールもできなくなるということになります。

　SIMスワップ詐欺のスワップとは「交換」という意味。つまり、SIMカードを何らかの方法で手に入れた者が別のスマホに差し替えて操作し、本人を装ってオンラインサービスを不正利用するのです。プライバシー情報を丸ごと奪い、本人になりすますことから、SIMスワップ詐欺は別名「SIMハイジャック」ともいわれています。

　SIMスワップ詐欺に遭ってしまうとお金の損害はもちろんのこと、プライバシー情報の流失によってますます詐欺に遭いやすくなるという悪循環に陥りかねません。最近はスマホを使って車や家のドアロックを行う「スマートロック」の利用が広がっていることから、空き巣や車上荒らしに利用される危険性も指摘されています。

　今やスマホを使って何でもできる時代だからこそ、被害に遭った時のダメージは計り知れないものがあるでしょう。

SIMスワップ詐欺の典型的な手口、手法

　そもそも常にスマホに入れっぱなしで、手元にあるはずのSIMカードが、どうして狙われるのでしょうか。実は犯人は、ターゲットが持つSIMカードそのものを狙うのではなく「SIMカードの再発行の手続き」を不正に行うことでSIM内の情報を入手しているのです。

　犯人はまずターゲットとなる人物の身分証明書を偽造するため、あらゆる手段を用いて（後述するフィッシングなどで）個人情報を入手します。そして携帯会社に連絡し「SIMカードを紛失した」などと説明。SIMカードの再発行を求めます。この時、携帯会社側で本人確認はもちろん行いますが、犯人側もうまくすり抜けるよう周到に準備してくるため、目視での確認は限界があるのが現実です。そうしてSIMカードを手に入れてターゲットになりすまし、ネットバンクにアクセスして不正送金する……といった犯行に及ぶのです。これが、SIMスワップ詐欺の典型的な手口となります。

　また、日本では携帯番号を変えずそのまま新しい端末に引き継げる「携帯番号ポータビリティ制度（MNP）」を悪用した詐欺の発生例があり、携帯会社に「別のキャリアに移る」などと偽ってターゲットの携帯端末の契約を解除させたあと、偽造証明書を利用してすぐさま別の携帯キャリアと契約して乗っ取るという手口が確認されています。

　SIMカードが再発行されると元のSIMカードは無効になってしまうため、詐欺にやられてしまうと被害者の端末の電源が入らなくなってしまったり、通信が急に「圏外」となって通信操作が一切できなくなってしまったりします。「スマホの調子が悪いのかな」「通信障害かも」と感じるかもしれませんが、こうした状況となったらすぐに契約した会社に連絡して確認しましょう。

被害に遭わないための予防策

　もしも被害に遭ってしまったらすぐにクレジットカードの使用を停止する、パスワードを変更するなどの対処が必要ですが、何よりも未然に防ぐことが一番です。

　詐欺を防ぐための有効な方法について、欧州刑事警察機構ユーロポール（Europol）は以下のように発信しています。

【1】デバイスのソフトウェアを最新の状態に保つこと
【2】リンクをクリックしたり、予期しないメールに付属する添付ファイルをダウンロードしたりしないこと
【3】疑わしいメールに返信したり、個人情報を要求する発信者と電話でやり取りしたりしないこと
【4】オンラインで共有する個人データの量を制限すること
【5】SMSで認証コードを送信するのではなく、オンラインサービスに2要素認証を使用すること
【6】可能であれば、電話番号を機密性の高いオンラインアカウント（銀行口座など）に登録しないこと（携帯電話よりも固定電話番号が望ましい）
【7】SIMカードに独自のPINコードを設定し、SIMカードへのアクセスを制限すること
（引用元：Bleeping Compute「https://www.bleepingcomputer.com/news/security/europol-dismantles-sim-swap-criminal-groups-that-stole-millions/」）

　中でも注意すべきは、大手企業や公的機関の名をかたった偽のメールを送信し、記載したリンク先の不正なウェブサイトに個人情報を入力させる「フィッシング」と、SMS（ショートメッセージサービス）で同じく不正なウェブサイトへと誘導する「スミッシング」で、いずれも昨今目立って増えてきている手口となります。

　最近は大手企業のダイレクトメールに巧妙に似せた、非常に見分けづらい偽メールが出回っています。身に覚えのない請求や、少しでも違和感のある怪しいメールが届いた場合は、開封せずにすぐ削除しましょう。もし開封してしまっても、リンク先を開いて個人情報を入力したり、添付ファイルをダウンロードしたりしなければ、まず問題ありません。

　信頼できるメールかどうか判断しづらい場合は、ドメイン名（@マーク以降のアドレス）をチェックし、本当に公式で使われているものかどうか、検索して調べるクセをつけておくと安心です。大手企業では、出回っている偽ドメインをHPで公開している場合がありますので、あらかじめスマホ設定で当該ドメインをブロックしておくのも有効な方法です。

　いずれにしても、犯人が最も欲しいのは個人情報。あらゆる場面を想定し、対策を講じておく必要があります。ご自身はもちろん、周囲にも被害が及ぶ可能性のある詐欺ですので、日頃から家族や身の回りの人と一緒に防犯意識を高めておきましょう。