SIM スワップが払っているらしいので要注意!

VPN セキュリティ ソフトウェア モバイル

SIM スワップが流行っているらしいので要注意!

SIM スワップという言葉をご存知でしょうか?国内でも流行り始めたようです。

本ページはこんな方におすすめ

  • ネットのセキュリティが気になる人
  • 最近個人情報漏れたかもと心配な人
  • SNS 大好きな人
  • 自分を情弱かもしれないと疑っている人

SIM スワップがヤバイ

SIM スワップ」というのは、他人の携帯 SIM カードを手に入れて、別のスマホに差し込んで、その SIM 契約者ではない悪者が、その人物になりすまして悪さをする手口です。海外ではこの手法はメジャーです。CIA とかが当たり前にやってるらしいけど。

SIM スワップで何ができる?

SIM スワップに成功した悪者は、使える有効な電話番号と、ショートメール(キャリア発行のもの)を手に入れる事になります。そのため、二段階認証のワンタイムパスワードを突破できることがキモになります。

ワンタイムパスワード認証

つまり、当人のスマホが盗まれたのと同じ(しかもパスワードなし)状態になりますので、スマホだけでできることは何でもできます。

厳密には、同じ種類の認証を2回に分けて行うものを二段階認証、一方、秘密の合言葉やワンタイムパスワード、生体認証の2つで認証するのが二要素認証です。当ページでは、このことは趣旨ではないので、まとめて一般的に二段階認証と称しています。

SIM スワップでヤられそうなこと

  1. 紐づけメールアドレスの乗っ取り
  2. SNS アカウントの乗っ取り
  3. ネット銀行からの違法出金・送金

ざっと思いつく悪さは上のような感じです。SNS アカウントについてはやりたい放題です。年頃の女性なら、あらぬいらぬことを勝手にツイートされ、友人たちとのふしだら画像まで投稿されてしまうかもしれません。その程度ならまだマシで、ネットに住所を特定できるような画像をあげられ、毎日ストーカーのお散歩に付き合うみたいなことになりかねません。

個人のメールアドレスを盗まれても、あまり使っていないメアドだから心配していないとかはだめです。取引先や関係者にいかがわしいメールを送り付けられ、顧客を失うかもしれません。そもそも、メアドを盗まれるような人とまともな付き合いはできないと考える人すらいます。

SIM スワップのヤバさの本質は、お金が盗まれる可能性があることです。現実に盗まれた人(日本)もいるようですので、笑えません。
ネット銀行から出金される可能性があるのは想像がつきますが、その他の電子マネー関係も被害に合う可能性があります。

もちろん、ネット銀行のアカウントも実質乗っ取られますので、送金や出金だけでなく、預金もできます。でも、普通はアカウントを乗っ取って、お金を預け入れてくれるようないい人はいません(実はいないわけでもないのですが)。

SIM スワップはどうやる?

どうやってやる?」って、奨励しているわけではないので誤解なきよう。悪者の手口を理解しておかないと、なぜその情報が必要なのかなど、本質的に対処できません。まずは雑にでも知識をつけてください。ここでは、被害者のことをカモと呼びますが、悪気はありません。カモにならないように注意です。

SIM スワップのコアは、カモの SIM カードを手に入れてしまうことにあります。カードを盗むのはベタな方法で、要はカードの複製もどきを手に入れます。カードを手に入れたら、すぐさまそのカードを悪用して、金銭的なものを得る・奪うのが SIM スワップの手法です。

個人情報漏洩

まず、ターゲットにするカモの個人情報を入手します(厳密には入手した情報からカモを定めます)。フリー Wi-Fi の接続ログや、ダークウェブSNS 情報などを参考にして、フィッシング(偽のサイトに誘導して情報を盗む手口)に誘いカモを選定します。

腕のいい悪者なら、電話番号名前生年月日メールアドレス、利用している金融機関とそのIDパスワードまで抜いてしまいます。

SIM スワップは、まずターゲットにするカモの個人情報から、足のつきにくいように身分証明証を偽造します。偽造写真を入れた運転免許証がよく使われますが、ICチップ入りであっても、チップの記録内容の確認までされません。

また、偽造パスポートに他の証明書(もちろん偽造)をつけて、認証を切り抜ける方法もあります。ここは詐欺集団のクセがあるようです。

闇バイト

その身分証明書を持って(行うのは闇バイトで募った実行犯)、携帯キャリアのショップで SIM カード再発行手続きを受けます。この時点で、本物の所有者の SIM は無効になり、本来の所有者のスマホは回線が繋がらなくなります。今後、すべてのキャリアメールや電話は新規再発行 SIM の入ったスマホ、つまり悪者の方に届きます

これで、完全にカモを捕まえた悪者は、まずは利用者の多い LINE を手始めに犯罪に着手します。犯行は複数人で行われることも多いようですので、やりたい放題できます。金銭が引っ張れないアカウント情報などは、闇サイトで売買し、クラウドに保存したプライベートないかがわしい動画や写真は無修正サイトで個人情報付きで販売を試みます。

違法出金

あらかじめ情報を得ていた(盗んで用意しておいた)ネット銀行へのアクセスはすぐさま行われ、出金、送金は可能な限りの手段が試されます。多くは、海外送金されてしまうと聞きますが、暗号通貨、ネットカジノのコインや、日本滞在歴のある某国人開設の銀行口座なども利用されるようです。いずれも、何重にも経由して行われます。一旦送金されてしまうと追跡が難しくなります。また、「限度額より多くの金額が送金しますか?」などの、銀行からの確認電話も再発行 SIM スマホの方にされますので、あとはやられまくりになります。
こういった被害にあった場合、被害届は出すことはできますが、奪われた金品は取り戻せない可能性が高いです。

ネットバンクの預金がもともとスッカラカンの人なら、安全なのかといえばそんな事ありません。上の送金の踏み台にされて、一時的に大金が入金されたりして、下手したら共犯にされかねません。

国外退去寸前の空港のATMから引き出して、そのまま某国の航空会社の機体で帰国というケースの場合、日本の官憲は手を出せません。

ここまでの詐欺の実行は、実質数時間で完了するそうですので、そのヤバさが感じられると思います。

SIM が有効に機能していないと思った場合は、すぐさま携帯ショップに確認するのがよさそうです。
ネットだけで eSIM を変更するような手口はまだ無いようです。今後は eSIM が狙われそうな予感です。

どうやって防ぐ

残念ですが、SIM スワップは、ユーザー側で対策をほとんど打てません。不便覚悟で、SIM による認証だけでは完結できないようなシステムに切り替わるのを待っているのが現状です。
そのため、下の対策は最低限の心得のようにご理解ください。

とあるセキュリティ企業は「個人情報の取り扱い」に気をつけ、「フィッシング詐欺」に注意し、「SIM カードが利用可能」であることを監視しろと警告しています。氏名や住所、電話番号は全部を公開する必要はありません。偽名やペンネームはチョット・・・という人は、例えば「東谷」さんなら「東」、「山岡」さんなら「山丘」など、名前を少し変えて呼び方は変わらないするなどのコツもあります。

個人情報を入れすぎてヤバイからと言って、「楽天にクレジットカード情報を登録しているので、解除しようかな」まで考えなくても大丈夫です。楽天が仮にハッキングにあって、個人情報が流出したとしても、その情報は限定的だからです(その場合は、おそらく企業側で対応できます)。また、楽天やアマゾンに自分の銀行のログイン ID やパスワードを登録しているわけではありません。なので、ネットバンキングで自分のお金が盗まれるということには直接繋がりません。

フィッシング詐欺対策には慣れも必要

amazon らしくみせたフィッシング例

上の例は、アマゾンらしく見せて毎日送りつけられてくる一通です。アマゾン株式会社となっているあたりがすでに胡散臭く、それが文面全体に現れています。

アマゾンは合同会社ですね。文面のレイアウトのおかしさからも、怪しさは感じます。

フィッシング詐欺はすでに引っかかる人も少なくなっているかと思いますが、自身がない人は最新版のブラウザと OS(Windows や macOS、android や iOS)を使うようにしてください。最新版のブラウザは OS が古いと動かない、起動しないものがあります。これも意識的に古いものを使おうとしていない限り、有名ブラウザの多くは自動的にバージョンアップを促されます。最新のブラウザだと「https://」から始まっていないようなページは警告を発してくれます。

ログイン ID やパスワードは自分の端末を操作する過程で漏れていることが大半です。フィッシング詐欺や SNS の良からぬグループへのお誘いなど、罠はいたるところにあります。

すべてはインターネット経由で情報が漏れているというところです。接続元や接続先のデバイスにはウイルスチェックがかかっているとか、そういうお話だけではありません。まずはデータの通り道、接続経路を確認しましょう。以下の対策は、最近ではほぼ常識化している感があります。

通信経路の安全性だけは確保しておこう

アプリやOSそのものにトロイが含まれていたりすれば、これは重大ですが、それ以前に安心できる通信経路を確保しておくことが必要不可欠です。例えば、公衆のフリーWi-Fi(電車、バス、船、空港を含む)などを使う場合です。

  1. 信頼できる VPN を使う
  2. 信頼できる SNS を使う

当サイトでも、VPN を奨励していますが(詳細はVPN サービス選びに役立つ記事を参考ください)、理想は2つぐらいの VPN アカウントを持っていた方がいざという時は助かります。ここで誤解してほしくないのは、VPN なら何でもいいわけではないと言う点です。VPN にはフリー・無料の VPN が存在します。掲示板に書き込む程度なら、それでお好きにどうぞということですが、ネット銀行や買い物サイトで ID とパスワードを入力する場合は、信頼できる VPN を経由することで、通信経路の途中でデータの盗み見を防ぐことができます。

ネット銀行は VPN 規制をかけていないことが多いですが、証券会社などは外国からの取引(アクセス)を好まない傾向にあるので、本当の接続元が隠れる VPN を快く思わないことがあります(アクセスできない)。この場合は、マイナーな VPN アカウントがあれば、その場を切り抜けることができるケースが多いです。ただし、その場合でも安心できる業者のものを使ってください。

当サイトのお勧めは、メジャーなものでは「MillenVPN」と「NordVPN」あたりです。どちらも、現在のところ信頼できますので、月額料金が安いものの方がおサイフに優しいと思います。


関連記事
無料 VPN ビジネス
無料 VPN はビジネスとして成り立つのか?

本ページはこんな方におすすめ VPN に興味のある方 無料 VPN を使っている方 無料 VPN に疑問を持っている方 ...

続きを見る


関連記事
MillenVPN と NordVPN
MillenVPN と NordVPN、どちらの VPN を選ぶか考えてみる

本ページはこんな方におすすめ お手軽価格の VPN を探している MillenVPN(ミレンVPN)ってどんな感じ? N ...

続きを見る

信頼できる SNS を使うことは、ある意味常識ではありますが、SNS は相手がいることですので、自分の一存では乗り換えられないことがあります。コンタクトリストを共有しない、あるいはコンタクトリストには重要情報を入れないなど、自分ができるレベルで防御しましょう。

いざ、事故が起こったとき、「普段から SNS で連絡が付きやすいくせに、その彼・彼女からは一切情報が漏れてなかった」という評価がされれば、組織内では間違いなく一目置かれます。

快適なネットVPN環境であなたのネット上の個人情報を守る

日本公式サイト【Nord VPN】はこちら

国や時間を問わず安全にインターネットを利用するなら


海外から日本のVODサービスを見るなら

MillenVPN(ミレンVPN)公式サイトはこちら

WiFiのセキュリティ強化をするなら

関連記事
LINE にとって代わるメッセージアプリを考える
LINE にとって代わるメッセージアプリを考える

LINE 問題で、代替アプリ検討のメモ書きです。 基本的に使用料無料で広告の入らないアプリを探しています。 LINE 問 ...

続きを見る

-VPN, セキュリティ, ソフトウェア, モバイル
-