私のLivedoorブログのコピーです
スマホの電話番号を乗っ取られる「SIMスワップ」被害が増加 求められる対策とは? : 丹沢z3の気まぐれブログ
いやはや 悪いことを考える人は頭が良いんですね
時代の流れとはいえ クレジットカード情報だけでなく
携帯電話番号まで 盗み取るなんて・・・
折角の良い頭は 人様の役に立つように使って欲しいけどなあ
尚 この記事の技術的な内容が理解困難な人は
とにかく注意しなくっちゃあ という気持ちを持つだけでも
少しは効果が有るのでは・・・
スマホの電話番号を乗っ取られる「SIMスワップ」被害が増加 求められる対策とは?:房野麻子の「モバイル新時代」 - ITmedia NEWS
2024年05月30日 16時50分 房野麻子 ITmedia
ここ最近「SIMスワップ」「SIMハイジャック」といった言葉が世間を騒がせている
一般に知られる きっかけは 4月に起こった
東京都の都議会議員と大阪府八尾市の市議会議員の被害だ
◆SIMカードの乗っ取りで200万円を超える被害
市議会議員のケースでは 議員のソフトバンク携帯電話が
何者かによって高額な最新機種に機種変更され PayPayを使い込まれたり
200万円以上もする腕時計を購入されたりしたことがX(旧Twitter)に投稿された
松田議員の投稿 一連の流れをツリー形式で投稿している
議員はまず 自分の携帯電話が圏外で使えなくなった
当初 電波障害を疑った しかし そのような状況ではないことを確認し
原因を調べに八尾市のソフトバンクショップを訪れたところ
名古屋市のショップで最新のiPhoneに機種変更されていたことが分かった
また PayPayに5万円をチャージされ 名古屋市内で ほぼ使われた他
ネットでの買物やコンビニでの かざす決済用ソフトバンクカードのオートチャージも
されてしまった 金額は13万円分
さらには携帯電話を停止しているにもかかわらず
225万円のロレックスのショッピングローンが通ってしまった
これについて ソフトバンクの宮川潤一社長は5月9日の決算会見で陳謝した
店舗での本来のオペレーションでは マイナンバーカードの原本の確認と
本人確認の二重チェックを行っているが 一部の店舗でその運用が不十分だったと説明
今後は二重チェックを再徹底し 再発を防止するとした
具体的防止策は示されなかったが 今のシステムを改造して順次 店舗に導入するという
◆そもそも「SIMスワップ」とは?
被害の原因となったSIMスワップやSIMハイジャックとはどういったものか
犯罪者は身分証を偽造して携帯電話の所有者になりすまし
機種変更やSIMの紛失 MNPなどを理由に携帯電話のSIMカードを再発行することで
被害者のSIMカードを乗っ取ってしまうという犯罪だ
海外で2020年頃から増え始め 日本でも2022年から確認されている
SIMスワップ詐欺の仕組み
(画像右側 不適正利用対策に関するワーキンググループで配布された警察庁の資料)
SIMカードが乗っ取られると 被害者は携帯電話が使えなくなる一方
犯罪者は携帯電話番号に ひも付けのアカウントで各種サービスへログイン出来て
SMS認証を突破出来る
なんらかの方法でIDとパスワードを知っていれば SMSでの二要素認証を突破し
オンラインバンクへの不正アクセスやクレジットカードの不正利用も出来てしまう
個々人がSIMスワップ詐欺を防ぐ方法としては
身分証を偽造出来るような個人情報をさらさないこと
フィッシングメールやスミッシング(SMSを利用するフィッシング詐欺)に注意し
疑わしいリンクをクリックしないこと
二要素認証の方法を選べる場合は SMS(電話番号)ではなく スマートフォンの
アプリやワンタイムパスワードを利用すること などが考えられる
◆根本的な解決は「JPKI」か
今回のSIMスワップの被害では 本人確認にマイナンバーカードが使われたことから
マイナンバーカードに原因が有るかのような報道も一部あったようだが
原因は本人確認が徹底していなかったことだ
本人確認が しっかりしていなければ 運転免許証でも同様の犯罪が起こる可能性がある
事件を受けて デジタル庁は 偽造マイナンバーカードを見分ける方法を
盛り込んだ文書を民間事業者向けに配布した
本物のマイナンバーカードは カード右上の「マイナちゃん」の背景が
パールインキで印刷され見る角度によって緑色と桃色に見えることなどが
文書には書かれている
しかし 総務省の「不適正利用対策に関するワーキンググループ」の第3回会合で
警察庁が配布した資料を見ると 携帯電話の不正契約では
一見して本物と見分けが付かないほど精巧に偽変造された本人確認書類が多い
身分証偽造は国際的な犯罪組織が大掛かりに行っているようだ
同ワーキンググループは 携帯電話の契約時
券面を偽変造した本人確認書類を使って不正に契約されることを防ぐため
マイナンバーカードの「公的個人認証(JPKI)」を活用する方向で検討を進めている
SIMスワップ詐欺には 識者が対応策として提言しているICチップを読取る方法だ
2023年に閣議決定された「デジタル社会の実現に向けた重点計画」を踏まえ
本人確認方法の見直しを進めている
公的個人認証とは マイナンバーカードのICチップに搭載された電子証明書を利用して
オンラインで利用者本人の認証や契約書などの文書が改ざんされていない確認を
公的に行うこと
公的個人認証サービスの仕組みは 地方公共団体情報システム機構(J-LIS)に
よって運営され行政機関だけでなく 民間事業者(2023年6月1日時点で477社)の
各種サービスにも導入済
公的個人認証サービスは 元々オンラインでの本人確認を強化するために導入された
例えば現在 携帯電話のオンライン契約では 運転免許証やマイナンバーカードと
自分の顔を撮影して本人確認する画像解析型本人確認の「eKYC」が採用されているが
デジタルアイデンティティ推進コンソーシアムは
eKYCには本人確認書類の真正性検証(validation)のプロセスがなく
身元確認の意味を なしていないと問題点を指摘している
今後 オンライン契約でeKYCは廃止され 公的個人認証で本人確認を行うことになる
eKYCでは身元の偽装が容易 過渡期の技術として近い将来淘汰されていく
(デジタルアイデンティティ推進コンソーシアムが
不適正利用対策に関するワーキンググループ(第4回)に提出した資料)
その一方で 対面での本人確認が不正のターゲットになる可能性も指摘されている
対面での本人確認にもICチップを読取る公的個人認証サービスを導入するべきだが
読取り機器やシステム開発が必要になる
◆コストの解決策は「スマホでICチップ読み取り」
MVNOのイオンモバイルを提供するイオンリテールは
マイナンバーカードによる公的個人認証に一本化する方向性に賛同し
オンライン契約だけでなく 対面でも同じ時期に公的個人認証を開始すべきとしている
一方で そうなるとマイナンバーカードを読み取るための環境が必要になり
その環境を誰が用意するかが課題になるとも指摘
システムを開発する時間の確保 コストに対しての支援を求めている
イオンリテールは 対面での公的個人認証導入を支持しつつ
コスト システム開発期間などの課題を示した
(不適正利用対策に関するワーキンググループ(第4回)資料より)
河野デジタル大臣は5月10日の記者会見で
「ICチップを読み取ることで更に厳格に本人確認が出来る
民間で そのようなアプリがあれば その使用を奨励したい
そういうものがなければ デジタル庁で読取アプリを開発し 無償提供をしていきたい」
大手キャリアは環境を自前で用意出来るだろうが
デジタル庁が無償提供して小規模事業者でもICチップでの本人確認が出来るとなれば
ユーザーも事業者も一定の安心感は得られそうだ