SIMスワップ：自分を守るために知っておくべきこと

あなたの電話番号は、思っている以上に強力な存在です。銀行口座、メール、暗号資産ウォレット、ソーシャルメディアなどへのアクセスを回復するための鍵となっています。しかし、その利便性には落とし穴があります。犯罪者はあなたの携帯電話に一切触れることなく、電話番号を盗み取ることができるのです。そして、ログインや復旧にSMSコードを使用しているアカウントを襲撃します。パスワードをリセットし、アカウントにアクセスし、あなた自身のアカウントから締め出すことさえ可能です。

この手口は「SIMスワップ（SIM乗っ取り）」と呼ばれ、2023年だけでアメリカ人に約4,900万ドルの損害を与えました。さらに、史上最大級の暗号資産ハッキングのひとつもSIMスワップによって行われ、FTX暗号資産取引所から4億ドル相当の資産が盗まれたことが明らかになっています。

このガイドでは、SIMスワップとは何か、その仕組み、警告サインの見分け方、そして最も重要な防止策について説明します。不審な活動に直面している方も、ただ安全を保ちたい方も、ここで紹介する明確で実践的なアドバイスを参考にしてください。

SIMカードとは？ その仕組み

SIM（Subscriber Identity Module）は、ネットワークにあなたの身元を伝えるための、爪ほどの大きさのチップです。その仕組みは以下の通りです。

1. 識別と位置情報：SIMにはIMSI（国際モバイル加入者識別番号）とICCID（統合回路カード識別子）が保存されています。IMSIはネットワーク上での契約者を特定し、ICCIDはSIMカード自体の固有IDです。これら2つの識別情報により、モバイルネットワークはあなたの接続を認証し、通信を管理することができます。
2. セキュリティキー：SIMには暗号鍵が格納されており、通話・SMS・データ通信を行う前にモバイルネットワークとデバイスの間で認証を行います。これらの鍵は、あなたのSIMとネットワーク間で共有される「秘密のパスワード」のようなもので、あなたの身元を安全に証明します。この「パスワード交換」は、あなたの電話がネットワークとやり取りするたびにバックグラウンドで行われ、正規のデバイスのみがモバイルサービスを利用できるようにしています。

有効なSIMプロファイルがなければ、ネットワークは通話、SMS、データ通信を処理しません。SIMカードを新しい電話に差し替えれば、あなたの身元情報も一緒に移動します。eSIMの場合、物理的なSIMカードを使わずに通信事業者を通して番号をデジタル的に新しいデバイスへ転送できます。この転送の容易さこそが、SIMスワップが非常に厄介な理由です。

SIMスワップとは？

SIMスワップ（別名：SIMスワッピング、SIMジャッキング、SIMポーティング）とは、攻撃者が通信事業者をだましたり買収したりして、あなたの電話番号を攻撃者が管理するSIMカードに移行させる行為を指します。

一度転送が完了すると、本来あなたのもとに届くはずだった通話やSMSコードはすべて攻撃者の手元に届きます。これにより、攻撃者はワンタイムパスコードを使ってパスワードをリセットし、暗号資産ウォレットを空にし、あなたの名義で暗号通貨を購入することさえ可能です。

SIMスワップでは、誰もが簡単に被害者になり得ます。電話番号は、多くの人が思っている以上に多くのオンラインアカウントと結びついています。詐欺師があなたの番号を手に入れた場合、単に番号を奪うだけでなく、あなたの「デジタル上の身元」そのものを盗むことになるのです。では、どのように行われるのか見ていきましょう。

SIMスワップの仕組みは？

攻撃者は通常、次の4つのステップに従って行動します。

1. データ収集：攻撃者はSNSの公開投稿を収集したり、フィッシングメールを送ったり、あるいは データ漏洩 から得られた情報を利用して、あなたの生年月日、住所、秘密の質問の答えなどを集めます。
2. 通信事業者への接触：収集した情報を使って、攻撃者はあなたになりすまし、オンラインチャットやコールセンターで「携帯電話を盗まれたので新しいSIMが必要です」と主張します。この段階で通信事業者をだますことができれば成功です。本人確認の手順は国によって異なり、特に SIMカード登録法の厳格性に影響されます。
3. 番号の転送：担当者がこの話を信じてしまうと、あなたの電話番号は新しいSIMまたはeSIMプロファイルに転送され、あなたのデバイスはサービスを失います。この時点で、すべての通話とSMSは攻撃者に届くようになります。
4. アカウント乗っ取り：あなたのアカウントがSMSを使った二要素認証（2FA）に依存している場合、攻撃者はそのコードを使ってパスワードをリセットしたり、暗号資産を引き出したり、あなたの名義で購入を行うことができます。

まれに、通信事業者の内部関係者が賄賂を受け取り、直接SIMスワップを行うケースもあります。どの方法であっても、結果は同じです。あなたのデジタルライフが、他人の手の中に渡ってしまうのです。

💡ヒント： 先手を打ちましょう。米国在住の方は、弊社のデータ削除サービス（Identity Defender機能の一部）を利用することで、データブローカーに渡る個人情報の量を減らし、攻撃者があなたの情報を収集しにくくできます。

SIMスワップ被害の兆候

以下は、あなたがSIMスワップの被害に遭っているかもしれないサインです。

突然、携帯電話の通信が途切れる

最も即座で明確なサインは、突然の通信サービスの喪失です。電波が強い地域にいるのに、あなたのスマホが「圏外」や「緊急通話のみ」と表示される場合があります。料金を支払っているにもかかわらず再起動しても回復しない場合、あなたの番号が別のSIMに移された可能性があります。

電話やSMSを送受信できなくなる

携帯回線を失った場合、通話をかけたりSMSを送受信することができなくなります。これはWi-Fi接続の有無に関係なく発生します。通話やSMSはモバイルネットワークを介して送受信されるため、SIMスワップ中は利用できません。

銀行口座やSNSアカウントで不審な活動が見られる

SIMスワップを行う攻撃者は非常に迅速に動きます。番号を手に入れると、SMSベースのセキュリティコードを使うアカウントへのアクセスを試みます。大量のパスワードリセットメールが届いたり、見覚えのない場所やデバイスからのログイン通知が届いたり、身に覚えのない送金アラートが届いた場合は注意が必要です。

「新しいデバイスで番号が使用されました」という通知が届く

国によっては、通信事業者が「SIMスワップが保留中」や「あなたの電話番号が新しいデバイスで有効化されました」といった警告をSMSで送信する場合があります。リクエスをしていないのにこのような通知を受け取った場合は、携帯番号が攻撃されている可能性があります。身に覚えのない要求は、絶対に承認しないようにしましょう。

SIMが乗っ取られた場合の対処法

スピードが最大の防御策です。通信が失われたり、不審な活動に気づいた瞬間に、以下のステップを順番に実行し、進捗を記録しましょう。

1. 携帯キャリアに連絡する

別の電話からサポートに連絡し、SIMスワップが疑われることを報告してください。担当者に、新しいSIMの停止と、あなたの管理下にあるSIMまたはeSIMプロファイルへの番号の復旧を依頼します。通話日時、担当者名などを必ず記録しておきましょう。

2. 金融口座を保護する

次に、銀行やカード会社に連絡してください。状況を説明し、取引を凍結し、担当者と一緒に最近の取引を確認します。不正な送金を発見した場合は、すぐに異議申し立て手続きを開始しましょう。リアルタイムの利用通知を有効にしておくことで、新たな不正利用を防止できます。

💡ヒント：米国のユーザーは、弊社のID保護サービス「Identity Defender with Credit Scanner」を利用することで、クレジットレポートを監視し、不審な新規口座や活動をすばやく検知できます。

3. パスワードをリセットし、SMSによる2FAから認証アプリに切り替える

まず、最も重要なメールアカウントのパスワードを変更し、その後、銀行、SNS、クラウドサービスの順に進めましょう。すべてのパスワードを変更し、SMSコードではなくGoogle Authenticatorなどの認証アプリを使用してください。通信事業者が回線を復旧したら、新しい方法で2FAを再設定してセキュリティを強化します。

4. 犯罪として報告する

国のサイバー犯罪対策機関に報告書を提出してください。銀行や通信事業者には、その報告番号を共有しましょう。正式な書類があると、返金や社内調査の対応が早まる場合があります。

5. 行動記録をすべて残す

すべての通話、チケット番号、約束された対応内容を記録し、24時間以内に進捗を確認しましょう。明確なタイムラインを残すことで、後々のトラブル解決を円滑にし、積極的に対処していることを示すことができます。

SIMスワップを防ぐ方法

電話番号をオンラインアカウントに紐づけない

可能な限り、ログインやアカウント復旧手段として電話番号を使用しないようにしましょう。代わりにメールアドレスや認証アプリを利用します。これにより、電話番号を乗っ取られても被害を最小限に抑えられます。ただし、メールアカウントも攻撃対象となり得るため、より安全なのは認証アプリを利用する方法です。

多要素認証（MFA）を活用する

パスワードだけに頼らず、多要素認証を追加することでアカウントの安全性を高めましょう。

• 認証アプリ：これらはSMSではなくデバイス上でコードを生成するため、SIMスワップ攻撃の影響を受けません。たとえ誰かがあなたの番号を乗っ取っても、2FAコードにはアクセスできません。Google Authenticator、Authy、Microsoft Authenticator などが推奨されます。
• 生体認証：多くのデバイスやアプリは指紋や顔認証などの生体認証を提供しており、デバイスレベルでの強力なセキュリティ層を追加します。これにより、誰かがあなたの電話番号を奪ってもアプリや操作へのアクセスを防ぐことができます。
• 物理セキュリティキー：YubiKeyなどのハードウェアトークンは、高度な暗号鍵を使って物理的な操作を必要とするため、極めて安全な認証方法です。特にメールや金融口座の保護に有効です。

通信事業者にPINやロックを設定する

ほとんどの通信事業者では、アカウント専用のPINコードやセキュリティ質問を設定できます。これにより、攻撃者があなたになりすますことが難しくなります。

さらに、番号ロック機能やアカウントロック機能を提供している場合もあり、これを有効にすると番号を別のSIMに移す際に追加の認証が必要になります。

一部の事業者では「折り返し確認」機能もあり、アカウント変更を行う前に登録済み番号へ確認の電話をかけます。この手順を有効にしておけば、SIMスワップの進行を阻止できる可能性があります。

アカウント通知を設定する

多くの銀行やオンラインサービスでは、ログイン試行、パスワード変更、出金などに関する通知を設定できます。これらを有効にすることで、不審な動きを早期に察知できます。

重要なアカウントを定期的に監査する

金融、メール、SNSなど重要なアカウントのセキュリティ設定を定期的に確認しましょう。不正アクセスの兆候を探し、復旧方法を最新化し、ログインや復旧に電話番号を利用しているアカウントを見直します。

オンライン安全の基本ルールを守る

最後に、日常的にオンライン上で警戒することがSIMスワップ被害を防ぐ最善策と言えます。

• クリック前に一呼吸：思いがけないメールやメッセージ内のリンクや添付ファイルは開かないようにしましょう。フィッシングによって得た個人情報が、通信事業者をだます材料に使われます。
• 個人情報を公開しない：電話番号、住所、ID番号などを公開サイトに掲載しないようにしましょう。情報が少なければ、攻撃者が本人確認を突破する材料も減ります。
• 発信者を確認する：通信事業者を名乗る人物から電話が来た場合は、一度切って公式のサポート番号にかけ直してください。これにより、ソーシャルエンジニアリングによるリアルタイムの乗っ取りを防げます。
• 資格情報を絶対に渡さない：プロバイダが電話・メール・SMSでパスワードやPIN、銀行情報を尋ねることはありません。これらを守ることで、番号移行に必要な情報を攻撃者から隠せます。
• すべてのサービスで異なるパスワードを使用：キャリアアカウントを含む各オンラインサービスに固有のログインを使用することで、1つのサイトが侵害されても他の重要アカウントへの連鎖被害を防げます。パスワード管理ツールExpressVPN Keysを使えば、強力なパスワードを安全に生成・保存できます。
• アプリの自動入力を使わない：ブラウザやアプリの自動入力機能は専用のパスワードマネージャーより安全性が低い場合があります。スマートフォンを紛失したりマルウェアに感染すると、保存された自動入力情報が攻撃者に渡る恐れがあります。

SIMスワップ詐欺の実例とその影響

SIMスワップは単なる技術的な問題ではありません。多くの被害者にとって、それは小さなトラブルから始まり、最終的には資産の喪失、評判の損傷、そして長期的に信頼回復へ奔走することにつながります。

たとえばTwitterの元CEOジャック・ドーシー氏のケース。2019年、攻撃者はSIMスワップを使って彼の電話番号を乗っ取りました。数分のうちに、彼のアカウントから攻撃的なツイートが投稿され、世界的なニュースになりました。事件は短期間で収束しましたが、テクノロジー業界のリーダーでさえ脆弱であることを浮き彫りにしました。

また、暗号資産投資家のマイケル・ターピン氏は、電話番号を乗っ取られたことで2,000万ドル以上を失いました。攻撃者はアカウント保護を突破し、彼のデジタルウォレットにアクセスして資金を引き出しました。ターピン氏は後に通信事業者を提訴し、内部統制の甘さが被害を招いたと主張しました。

これらは特殊なケースではありません。SIMスワップは著名人から一般利用者まで、幅広い人々を標的にした攻撃と結びついています。攻撃者が行うことは以下の通りです。

• 個人情報の盗用：番号を支配されると、攻撃者はあなたになりすましてメールや銀行口座にログインし、パスワードをリセットできます。さらに、その情報を使ってあなた名義でローンやクレジット申請を行うこともあります。
• 金銭的損失：番号を盗まれると、銀行口座の資金が引き出されたり、クレジットカードの不正利用や暗号資産の流出が起こる可能性があります。SMSによる2FAを使用している金融口座では、SIMスワップが詐欺師に必要な全情報を与えることになります。
• プライバシーの侵害：成功したSIMスワップにより、攻撃者はあなたのSMS、クラウド連携メッセージアプリ内の写真、連絡先リストなどにアクセスできるようになります。さらに、あなたになりすまして友人にメッセージを送り、アクセスコードを要求することもあります。
• 評判の損害：あなたの番号を使ってSNS投稿やメッセージを送ることで、攻撃者はあなたを装って詐欺行為を行う可能性があります。これにより、対人関係やキャリアに悪影響を及ぼすこともあります。

SIMスワップは、あなたの最も機密性の高いアカウントへのアクセスを許してしまう可能性がありますが、被害を未然に防ぐ方法もあります。米国では、弊社のIdentity Defenderが、メールアドレス、パスワード、電話番号などの個人情報がダークウェブ上で流出していないかを監視します。もしSIMスワップの後に資格情報が漏えいした場合でも、迅速に警告を受け取り、アカウントの保護や損害の最小化が可能です。

まとめ：モバイル詐欺に先回りする

電話番号を盗まれることは、単なる迷惑ではなくあなたのデジタル生活全体への脅威です。銀行、メール、SNSなど、あなたの番号があればほぼすべてのアクセスが可能になります。だからこそ、事前の対策が不可欠です。

認証アプリを使い、アカウントPINを設定し、ログインに電話番号を使用せず、不審な活動を常に監視しましょう。予防に必要なのは数分ですが、身元盗難からの回復には数年かかることもあります。

VPN自体はSIMスワップを防止しませんが、特に公共Wi-Fi利用時にはオンライン活動を保護する賢い方法です。弊社のExpressVPNは通信を暗号化し、接続中のデータを安全に保つ強力なプライバシー層を提供します。