SIM スワップという言葉をご存知でしょうか?国内でも流行り始めたようです。
本ページはこんな方におすすめ
- ネットのセキュリティが気になる人
- 最近個人情報漏れたかもと心配な人
- SNS 大好きな人
- 自分を情弱かもしれないと疑っている人
SIM スワップがヤバイ
「SIM スワップ」というのは、他人の携帯 SIM カードを手に入れて、別のスマホに差し込んで、その SIM 契約者ではない悪者が、その人物になりすまして悪さをする手口です。海外ではこの手法はメジャーです。CIA とかが当たり前にやってるらしいけど。
SIM スワップで何ができる?
SIM スワップに成功した悪者は、使える有効な電話番号と、ショートメール(キャリア発行のもの)を手に入れる事になります。そのため、二段階認証のワンタイムパスワードを突破できることがキモになります。
つまり、当人のスマホが盗まれたのと同じ(しかもパスワードなし)状態になりますので、スマホだけでできることは何でもできます。
SIM スワップでヤられそうなこと
- 紐づけメールアドレスの乗っ取り
- SNS アカウントの乗っ取り
- ネット銀行からの違法出金・送金
ざっと思いつく悪さは上のような感じです。SNS アカウントについてはやりたい放題です。
年頃の女性なら、あらぬいらぬことを勝手にツイートされ、友人たちとのふしだら画像まで投稿されてしまうかもしれません。
その程度ならまだマシで、ネットに住所を特定できるような画像をあげられ(しかもジオタグ付きで)、毎日ストーカーのお散歩に付き合うみたいなことになりかねません。
取引先や関係者にいかがわしいメールを送り付けられ、顧客を失うかもしれません。
そもそも、メアドを盗まれるような人とまともな付き合いはできないと考える人すらいます。
SIM スワップのヤバさの本質は、お金が盗まれる可能性があることです。現実に盗まれた人(日本)もいるようですので、笑えません。
ネット銀行から出金される可能性があるのは想像がつきますが、その他の電子マネー関係も被害に合う可能性があります。
もちろん、ネット銀行のアカウントも実質乗っ取られますので、送金や出金だけでなく、預金もできます。でも、普通はアカウントを乗っ取って、お金を預け入れてくれるようないい人はいません(実はいないわけでもないのですが)。
預金は犯罪で得たお金の一時保管先として利用されそうです。
SIM スワップはどうやる?
「どうやってやる?」って、奨励しているわけではないので誤解なきよう。
悪者の手口を理解しておかないと、なぜその情報が必要なのかなど、本質的に対処できません。まずは雑にでも知識をつけてください。ここでは、被害者のことをカモと呼びますが、悪気はありません。
カモにならないように注意です。
- カモにする人物の個人情報を得る
- カモの身分証明書を偽造して、闇バイトを使いカモのSIM再発行の手続きをさせる
- 再発行SIMを使い、カモの財産を盗む
SIM スワップのコアは、カモの SIM カードを手に入れてしまうことにあります。
SIM カードを直接盗むのはベタな方法で、要はカードの複製もどきを手に入れます。
SIM カードを手に入れたら、すぐさまそのカードを悪用して、金銭的なものを得る・奪うのが SIM スワップの手法です。
まず、ターゲットにするカモの個人情報を入手します(厳密には流出・入手した情報からカモを定めます)。フリー Wi-Fi の接続ログや、ダークウェブ、SNS 情報などを参考にして、フィッシング(偽のサイトに誘導して情報を盗む手口)に誘いカモを選定します。
腕のいい悪者なら、電話番号や名前、生年月日、メールアドレス、利用している金融機関とそのID、パスワードまで抜いてしまいます。
SIM スワップは、まずターゲットにするカモの個人情報から、足のつきにくいように身分証明証を偽造します。偽造写真を入れた運転免許証がよく使われますが、ICチップ入りであっても、チップの記録内容の確認までされません(ソフトバンクはしないらしい?)。
また、偽造パスポートに他の証明書(もちろん偽造)をつけて、認証を切り抜ける方法もあります。ここは詐欺集団ごとのクセがあるようです。
その身分証明書を持って(行うのは闇バイトで募った実行犯)、携帯キャリアのショップで SIM カード再発行手続きを受けます。
この時点で、本物の所有者の SIM カードは無効になり、本物の所有者のスマホは回線が繋がらなくなります。
今後、すべてのキャリアメールや電話は新規再発行 SIM の入ったスマホ、つまり悪者の方に届きます。
これで、完全にカモのスマホを支配した悪者は、まずは利用者の多い LINE を手始めに犯罪に着手します。
犯行は複数人で行われることも多いようですので、やりたい放題できます。金銭が引っ張れないアカウント情報などは、闇サイトで売買し、クラウドに保存したプライベートないかがわしい動画や写真は無修正サイトで個人情報付きで販売を試みます。
あらかじめ情報を得ていた(盗んで用意しておいた)ネット銀行へのアクセスはすぐさま行われることでしょう。
出金、送金は可能な限りの手段が試されます。
多くは、海外送金されてしまうと聞きますが、暗号通貨、ネットカジノのコインや、日本滞在歴のある某国人開設の銀行口座なども利用されるようです。
いずれも、何重にもカモの身代わりを経由して行われます。一旦送金されてしまうと追跡が難しくなります。
また、「限度額より多くの金額を指定していますが、送金しますか?」「続ける場合は再度スマホ認証後、設定で限度額を増額してください。」などの、銀行からの確認電話(認証)も再発行 SIM スマホの方にされますので、あとはやられまくりになります。
こういった被害にあった場合、被害届は出すことはできますが、奪われた金品は取り戻せない可能性が高いです。
ネットバンクの預金がもともとスッカラカンの人なら、安全なのかといえばそんな事ありません。上の送金先の踏み台にされて、一時的に大金が入金されたりして、下手したら共犯にされかねません。
国外退去寸前の空港のATMから引き出して、そのまま某国の航空会社の機体で帰国というケースの場合、日本の官憲は手を出せません。
ここまでの詐欺の実行は、実質数時間で完了するそうですので、そのヤバさが感じられると思います。
どうやって防ぐ
残念ですが、SIM スワップは、ユーザー側で対策をほとんど打てません。
不便覚悟で、SIM による認証だけでは完結できないようなシステムに切り替わるのを待っているのが現状です。
そのため、下の対策は最低限の心得のようにご理解ください。
とあるセキュリティ企業は「個人情報の取り扱い」に気をつけ、「フィッシング詐欺」に注意し、「SIM カードが利用可能」であることを監視しろと警告しています。
氏名や住所、電話番号は全部を公開する必要はありません。偽名やペンネームはチョット・・・という人は、例えば「東谷」さんなら「東」、「山岡」さんなら「山丘」など、名前を少し変えて呼び方は変わらないするなどのコツもあります。
個人情報を入れすぎてヤバイからと言って、「楽天にクレジットカード情報を登録しているので、解除しようかな」まで考えなくても大丈夫です。楽天が仮にハッキングにあって、個人情報が流出したとしても、その情報は限定的だからです(その場合は、おそらく企業側で対応できます)。
また、楽天やアマゾンに自分の銀行のログイン ID やパスワードを登録しているわけではありません。なので、ネットバンキングで自分のお金が盗まれるということには直接繋がりません。
フィッシング詐欺対策には慣れも必要
犯罪集団は、スパムを手あたり次第、誰かまわず送り付けて、相手にしてくれるカモを狙っています。一例を示します。
フィッシング詐欺はすでに引っかかる人も少なくなっているかと思いますが、自信がない人は最新版のブラウザと OS(Windows や macOS、android や iOS)を使うようにしてください。
最新版のブラウザは OS が古いと動かない、起動しないものがあります。これも意識的に古いものを使おうとしていない限り、有名ブラウザの多くは自動的にバージョンアップを促されます。最新のブラウザだと「https://」から始まっていないようなページは警告を発してくれます。
ログイン ID やパスワードは自分の端末を操作する過程で漏れているケースが大半です。フィッシング詐欺や SNS の良からぬグループへのお誘いなど、罠はいたるところにあります。某国のワンコと噂される IT 大臣奨励の LINE なども、カモ発見装置として利用されている恐れがあります。
-
-
LINE にとって代わるメッセージアプリを考える
LINE 問題で、代替アプリ検討のメモ書きです。 基本的に使用料無料で広告の入らないアプリを探しています。 LINE 問 ...
続きを見る
カモにする人の情報は、ほぼすべてがインターネット経由で情報が漏れているというところがポイントです。接続元や接続先のデバイスにはウイルスチェックがかかっているとか、そういうお話だけではありません。まずはデータの通り道、接続経路を確認しましょう。
以下の対策は、最近ではほぼ常識化している感がありますが、復習です。
通信経路の安全性だけは確保しておこう
アプリやOSそのものにトロイが含まれていたりすれば、これは重大なリスクですが、それ以前に安心できる通信経路を確保しておくことが必要不可欠でもあります。例えば、公衆のフリーWi-Fi(電車、バス、船、空港を含む)などを使う場合です。
- 信頼できる VPN を使う
- 信頼できる SNS を使う
- 信頼できる OS は新しいものを
あまり IT が得意でない方は、2~3年をめどに IT デバイスを買い替えて、システムを最新にしておく方が安心です。
当サイトでも、VPN を奨励していますが(詳細はVPN サービス選びに役立つ記事を参考ください)、理想は2つぐらいの VPN アカウントを持っていた方がいざという時は助かります。
ここで誤解してほしくないのは、VPN なら何でもいいわけではないと言う点です。VPN にはフリー・無料の VPN が存在します。掲示板に書き込む程度なら、フリーの VPN でお好きにどうぞということでかなわないと思います。
しかし、ネット銀行や買い物サイトで ID とパスワードを入力する場合は、信頼できる VPN を経由することで、通信経路の途中でデータの盗み見を防ぐことができます。
当サイトのお勧めは、メジャーなものでは「
NordVPN
」と「
Millen VPN
」あたりです。どちらも、現在のところ信頼できますので、月額料金が安いものの方がおサイフに優しいと思います。
本ページはこんな方におすすめ VPN とプロキシの違いがわからない VPN とプロキシ、どちらを使うと良いのかを知りたい ... 続きを見る 本ページはこんな方におすすめ VPN に興味のある方 無料 VPN を使っている方 無料 VPN に疑問を持っている方 ... 続きを見る 本ページはこんな方におすすめ お手軽価格の VPN を探している MillenVPN(ミレンVPN)ってどんな感じ? N ... 続きを見る
VPN とプロキシの違いを知る
無料 VPN はビジネスとして成り立つのか?
MillenVPN と NordVPN、どちらの VPN を選ぶか考えてみる
信頼できる SNS を使うことは、ある意味常識ではありますが、SNS は相手がいることですので、自分の一存では乗り換えられないことがあります。
コンタクトリストを共有しない、あるいはコンタクトリストには重要情報を入れないなど、自分ができるレベルで防御しましょう。
いざ、事故が起こったとき、「普段から SNS で連絡が付きやすい人なのに、あんたからは一切情報が漏れてなかった」という評価がされれば、組織内では間違いなく一目置かれます。
-
-
LINE にとって代わるメッセージアプリを考える
LINE 問題で、代替アプリ検討のメモ書きです。 基本的に使用料無料で広告の入らないアプリを探しています。 LINE 問 ...
続きを見る
