近年広まりつつある、SIMスワップ詐欺。2021年4月に起きた、Facebookのデータ流出に関するブログの中でも、ご紹介しました。メールアドレスと携帯電話番号が同時に流出する事態が頻繁に発生するにつれ、サイバー犯罪者にとって、SIMスワップ詐欺は実行が容易な詐欺になっています。そこで本ブログでは、SIMスワップ詐欺を2回に分けて深堀りしていきます。

今回は、SIMスワップ詐欺がどのように行われ、なぜこれほど横行しているのか、考えていきます。

携帯電話には、SIM（Subscriber Identity Module）と呼ばれる特殊なカードが搭載されています。簡単に言うと、「通信サービスの加入者を識別する」カードです。SIMがあることで、登録された電話番号を用いて、通話やインターネットなど、通信キャリアが提供するサービスを利用することができます。

SIMカードには、大、中、小の3種類のサイズがあります。最近販売されているスマートフォンには、小指の爪に満たないほど小さなSIMカードが搭載されています。この最小のSIMカードは、古い携帯電話のSIMトレイにも収められるよう、専用のアダプターと一緒に提供されています。

また、最新機種のスマートフォンは「eSIM」にも対応しています。物理的なカードの挿入が不要の「eSIM」を用いれば、1つの携帯電話で2つのSIMを使用することができるため、例えば海外旅行の際、現地の電話番号を持ちたい時に便利です。

SIMスワップ詐欺の仕組み

サイバー犯罪者にとって、SIMは比較的簡単な作業で乗っ取ることができます。これこそ、SIMスワップ詐欺が増加している原因です。では、SIMスワップ詐欺はどのように実行されるのでしょうか。

まず、サイバー犯罪者は被害者になりすまし、被害者が契約している通信キャリアに電話をかけます。そこで、「携帯電話を紛失した」あるいは「破損して使えなくなった」など虚偽の状況を伝え、被害者の電話番号で新しいSIMを起動するよう依頼します。サイバー犯罪者は、ソーシャルエンジニアリングやSNSでのストーキングなどを通して入手した被害者の個人情報を巧妙に用いて、本人確認を突破し、被害者本人を装います。それが十分に説得力があれば、通信キャリアの担当者も騙されてしまうのです。

知らない間に新しいSIMに交換された被害者は、メールや通話などを一切受信できなくなるほか、携帯電話にあった一部のデータも入手できなくなります。そして、携帯電話番号は様々なサービスの認証要素として登録されることが多いため、サイバー犯罪者は新しいSIMを通じて被害者を装い、被害者が各サービスに登録したメールアドレスを変更したり、銀行口座やクレジットカードの情報を変更したりすることができます。

プリンストン大学の研究者たちが行った調査では、衝撃の事実が明らかになりました。当調査では、米国の主要な通信キャリアと、電話番号で認証を行う140のウェブサイトを調べた結果、調査対象になった全ての通信キャリアと、17のウェブサイトに脆弱性を発見しました。

さらに、2019年に実施された当調査の論文には、通信キャリアのセキュリティ対策がサイバー犯罪者に搔い潜られていた実態が書かれていました。例えば通信キャリアには、支払い情報などの照会の際、認証用の個人情報が必要となる場合が多いですが、ユーザーが間違えた情報を入力すると、秘密の質問など、パスワードや登録情報の推測を手助けする機能があります。この機能が、逆にSIMを乗っ取ろうとするサイバー犯罪者にヒントを与え、個人情報へのアクセスを許してしまうこともあるのです。

次回は被害の実例と、対策についてご紹介します。

この記事は2021年4月19日に公開されたSIM swapping: What it is and how to stop itの抄訳です。