知っておくべきこと:
- SIMスワッピングとは、詐欺師があなたの電話番号を乗っ取る行為です。
- このSIMカードを使用すると、銀行やソーシャルメディアアカウントのテキストベースの本人確認を傍受することが可能になります。
- 警告サインには、突然のサービス停止やログインロックアウトが含まれます。
- キャリアPINと強化された2段階認証で安全を守れます。
- もし自分に起こったら、すぐに行動してください—アカウントを保護するため、通信事業者に連絡して支援を求めてください。
携帯電話が使えなくなった状況を想像してみてください。多くの人がデバイスに大量の重要な情報を保存しているため、それは悪夢のような事態です。
携帯電話を紛失したり盗まれたりすることだけが、端末を失う原因ではありません。誰かがあなたの電話番号を乗っ取る可能性もあるのです。サイバー犯罪者がまさにそれを実行するために用いる手法が「SIMスワッピング」です。一度成功すれば、彼らは通話やテキストメッセージを傍受し、テキスト認証で保護されたアカウントへのアクセスに悪用できます。
小さな警告サインから始まることが多い。電話がつながらなくなったり、通信が途絶えたり、重要なアプリから突然ログアウトされたりする。こうした危険信号を早く察知すればするほど、深刻な被害が出る前に攻撃を阻止できる可能性が高まる。
キャリアPINの設定と、より強力な二要素認証への切り替えは、あなたをはるかに狙いにくい標的にします。そして最悪の事態が起きた場合、スピードが重要です。すぐに通信事業者に連絡し、アカウントをロックダウンする必要があります。
SIMスワッピングとは何ですか?
SIMスワッピングは、詐欺師が携帯電話会社にあなたの電話番号を彼らが管理するSIMカードに移行させるよう説得した際に発生します。この移行は電話上で行われることもあれば、店舗で直接行われることもあります。詐欺師はあなたになりすまし、元のSIMカードが紛失または破損したと主張します。
転送が完了すると、あなたの携帯電話はサービスを利用できなくなります。あなた宛てのすべての通話やテキストメッセージは攻撃者に転送されます。これには、多くのサービスが本人確認のためにSMSで送信するワンタイムパスワードや認証メッセージも含まれ、攻撃者があなたのアカウントに侵入する手段を与えてしまいます。
これは深刻化する問題である。FBIのインターネット犯罪苦情センター(IC3)によると、2021年だけで1,600件以上のSIMスワップ被害が報告され、被害総額は6,800万ドルを超えた。
詐欺師がどうやって成功させるのか
電話番号の乗っ取りは、想像するほど複雑ではない。悪意のある詐欺師にとって最も難しいのは、携帯電話会社に自分が正当な契約者だと信じ込ませるのに十分な情報を集めることだ。
ステップバイステップ:SIMスワップの実態
このプロセスは通常、情報収集から始まる。犯罪者はデータ侵害を掘り起こしたり、フィッシングメールで盗んだ詳細を再利用したり、ソーシャルメディアの投稿から個人情報を組み立てたりする。
十分な情報を入手すると、彼らはあなたの携帯電話会社に連絡します。電話の場合もあれば、オンラインサポート経由の場合もあります。あなたになりすまして、SIMカードを紛失または破損したと主張し、その番号を新しいSIMカードに移行するよう要求します。通信事業者がこの要求を承認すると、あなたの番号は即座に詐欺師の端末で有効化されます。
その時点で、警告なしに通話が切断され、攻撃者があなたの通話やテキストメッセージを受信し始める。
よく使われる手口
詐欺師は、携帯電話会社から送信されたように見せかけたフィッシングメッセージを多用し、アカウントの「確認」や悪意のあるリンクのクリックを促します。一見無害なソーシャルメディアの更新情報でさえ、誕生日やペットの名前といった一般的なセキュリティ質問の答えを漏らす可能性があります。
状況によっては、攻撃者が通信事業者内部の関係者から支援を受け、通常の顧客確認手順を迂回してSIM転送を直接処理する場合がある。
SIMスワッピングの兆候とは何ですか?
SIMスワップが発生すると、手がかりは突然現れることが多い。電話を使っている最中に突然着信が途絶えたり、メッセージが届かなくなったりするかもしれない。他の警告サインもすぐに続く可能性がある。
注意すべきレッドフラッグ
SIMカードに問題があることを示す兆候がいくつかあります:
- 突然、携帯電話に「信号なし」と表示されるか、理由もなく通信が途絶える。
- アカウントにロックがかかっており、復旧に必要なテキストベースのセキュリティコードを受信できません。
- 予期しない活動(銀行口座からの引き出しなど)や、自分が要求していないパスワードリセット通知が表示されることに気づきます。
- お客様の携帯通信事業者は、お客様の番号が別のSIMカードまたは端末で有効化されていることを確認しました。
これらの兆候を早く認識すればするほど、攻撃者が深刻な被害をもたらす前に阻止できる可能性が高まります。
被害者になった場合の対処法
SIMスワップ後はスピードが全てです。攻撃者があなたの電話番号を保持している時間が長ければ長いほど、あなたのアカウントを侵害する機会が増えます。
被害を最小限に抑えるため、迅速に行動せよ
この状況では慌てやすいが、冷静さを保ち、被害を最小限に抑えるため迅速に行動するのが最善である。
- すぐに携帯電話会社に連絡し、SIMカード移行の取り消しを依頼してください。本人確認書類の提示が必要になる場合がありますので、ご準備ください。
- 最も重要なアカウントにログインし、パスワードを変更してください。メール、銀行、ソーシャルメディアから始めましょう。
- 可能な限り、SMSベースの二要素認証をGoogle AuthenticatorやAuthyなどの認証アプリに置き換えてください。これらはSIMスワップ後のテキストメッセージ傍受の影響を受けません。
- 銀行口座、決済アプリ、クレジット口座を注意深く監視し、不審な動きがないか確認してください。
SIMスワップ被害に遭った場合、一分一秒が重要です。電話番号の管理権限を取り戻すことを最優先とし、これにより他のアカウントをより効果的に保護できるようになります。
SIMスワッピングから身を守る方法
SIMスワップを防ぐことは、被害から回復するよりもはるかに容易です。その第一歩は、自身のモバイルアカウントに対する管理を強化することです。目的は、通信事業者に対して誰かがあなたになりすますことを困難にすることにあります。
アカウントに強力でユニークなPINまたはパスワードを設定することは、最も効果的な対策の一つです。攻撃者が推測したり見つけたりしやすい、生年や単純な数字のパターンなど予測可能な選択は避けてください。
プロバイダーがSIMロックまたはアカウント凍結機能を提供している場合は、有効にしてください。これらのツールはアカウント変更前に追加のチェックを行い、不正なSIM転送を阻止できます。
携帯電話アカウントを保護する
多くの通信事業者では、追加のセキュリティ機能を有効にできるようになりました。これにより、本人による直接の承認なしに番号を転送されるのを防げます。わずかな追加の手順でも、あなたの個人情報を収集した攻撃者を阻止できるのです。
より安全な認証方法を使用する
SMSベースの二要素認証は、[SIMスワッピングやフィッシング攻撃](malwarebytes)の両方に脆弱であるため、使用を避けることを選択できます。 AuthyやGoogle Authenticatorなどの認証アプリは端末上でコードを生成し、電話番号に依存しないため、SIMベースの攻撃に対してより耐性があります。さらに強固な保護を求める場合は、物理的なセキュリティキーの導入を検討してください。これらのうち一部は、ログイン時に物理的にデバイスを手にしている必要があるものもあります。
より賢いオンライン習慣を身につけよう
ほとんどのSIMスワップ詐欺は、盗まれた個人情報から始まります。不審な送信元からのリンクをクリックする際は注意してください。アカウント情報を求める不審なメッセージには、返信する前に必ず慎重に検討してください。
ソーシャルメディア上で共有する個人情報の量を制限し、銀行口座とソーシャルアカウントで異なるメールアドレスを使用することを検討してください。そうすれば、一つの情報漏洩が他の全てへの入り口を開くことを防げます。
ボーナス保護:保険会社が提供できるサービス
SIMスワップ攻撃の防止において、携帯電話会社は重要な役割を担っています。具体的なオプションはキャリアによって異なりますが、現在ではほとんどの会社が追加のセキュリティ層を提供しており、ユーザーがリクエストできます。
一部の通信事業者は、追加の認証なしにSIMカードの変更や番号ポータビリティが行われないよう、アカウントをロックできます。他の事業者では、変更が試みられた場合に通知を送信し、完了前に介入する機会を提供します。
尋ねてみる価値のあるツール
ご利用の通信事業者が、不審な活動を検知する不正検知システムを提供しているか、またはアカウント変更処理前に追加の本人確認を実施しているかを確認する価値があります。
多くのプロバイダーでは現在、モバイルアプリを通じてアカウントのセキュリティ設定を自身で確認・管理できるようになっており、サポートに電話する必要なくより多くの制御が可能です。彼らが採用している不正検知方法や、追加で設定可能な認証手順について問い合わせてみましょう。各ネットワークはそれぞれ異なります。こうした問題の発生を防ぐために提供されている対策を確認することは、間違いなく価値があります。
関連記事
二要素認証はSIMスワッピングの防止においてどのような役割を果たすのか?