YouTubeアカウント乗っ取りについて考察中に、携帯電話のSIMスワップ詐欺という犯罪があることを知りました。
最近では携帯電話を持っていないと、オンラインサービスを受けられないサイトもあるので、キャリアとスマートフォンの契約をしている人が多いと思います。私は該当しませんが。
赤の他人が、本当のSIM+スマートフォン所有者に成り代わって、キャリアの窓口でSIMの再発行を受け、本当の所有者のSIMを無効にし、再発行されたSIMで、電話、SMSを受信することで、本人に成り代わって振り込みや手続きなどを行い、財産を巻き上げるんだそうです。怖い怖い。
SIM再発行を許してしまうと、防御する方法は無いってことですが、なんかこのニュース、詰めが甘いような気がします。本当に正しい報道してる?
まず、大手キャリアのSIMの再発行ってことになると、本人確認書類が必要です。(だそうです。)
本人に成りすますために、偽造した写真入り身分証明書を作って、キャリアの窓口を訪ねて「SIMを紛失した」「携帯電話を無くした」と嘘をつき、新しい同番SIMを手に入れるとのこと。
偽造身分証明書って、そう簡単に作れないと思いません?自分の免許証やマイナンバーカードのコピーを持っているところ、渡した、送ったところってかなり限定されます。例えば、職場の総務、銀行窓口、Payなんとかの本人確認、携帯キャリアの窓口、証券会社の本人確認、そういったところでしょう。名刺代わりにコピーなんて渡しません。また目当ては金銭なので、ターゲットがお金を持っていることを知らないと、偽造書類を作っても意味がありません。無料通話アプリがいくらでもある時代、他人のお金で国際電話を掛けまくろうと思って盗むわけじゃないでしょう。本人確認書類を持っている情報ソースが無ければ偽造書類なんて作れないわけから、SIMスワップ詐欺を企画する奴は、企業の総務担当や、本人確認書類を必要とするサービスのデータセンターで、データの読出し権限がある奴、またはそういう人とつながりがある奴から漏れていそう。
仮に、携帯電話所有者の知らないところで、本人確認書類を利用して、偽造免許証を作ることが可能と仮定して、これは携帯電話所有者には防ぎようがないことは確か。ただ、偽造本人確認資料を持ってキャリアの窓口に行かなきゃならないわけでしょ。そこで防げるでしょ。本人確認書類が漏れ出す可能性を考慮するなら、再発行を依頼された窓口担当者が再発行する電話番号に1本電話してみればいいんだから。運が良ければ持ち主が電話に出て会話できるし、電話に出ない場合は、確認用のSMSを送ればいい。また、即日再発行せず、SIMは郵送や宅配便で登録住所に届ければいい。その確認を行っていないの?なぜ、その場でSIMを再発行する?いくら困っていると言われても、SIMを無くしたのはキャリアの責任ではないし、所有者の問題でしょ。それを防ぎようないっていう報道にするのは分析が足りないんじゃないの?もし、SIMが壊れて、その壊れたSIMと一緒に持ち込まれたなら、窓口で再発行するのもやむを得ないことかもしれませんが、楽々同番のSIMが発行されてしまうというのは納得いかない事でしょう。SIM所有者に落ち度があるとは思えない。キャリア段階での防ぎようはあるでしょう。
でもまあ、現時点での大手キャリアの窓口ルールがそういうことなら、SIMが再発行されてしまうので、個人で対策するしかありません。
ビデオによると、二段階認証で受け取るSMSメッセージを受信するために利用するとのこと。銀行のオンラインサービスのログイン用ワンタイムパスワードの受信と携帯電話番号を紐づけしていたらアウトですね。あと、携帯キャリアドメインのメール。音声による本人確認もアウト。
しかし、二段階認証の前に、普通のオンラインサービスアプリは、アカウントとパスワードを入力するベーシック認証があるはずです。「この端末では次回から認証をスキップする」オプションを設定していても、SIMスワップされた端末は初回端末だから、ベーシック認証は必要になるはず。ここの突破はかなり難しいはず。突破できるということは、アカウント情報も漏れてるってこと?
このニュースって、個人情報がダダ洩れの人が、情報を抜かれて、携帯電話番号を複製されて、財産を巻き上げられているってことを解説してるの?
SIMスワップ詐欺って、基本ルールを守れば防ぐの簡単なんじゃない?
技術的には、携帯電話番号と銀行サービスなどお金を動かすサイトを紐づけなければいい。
でも、まずは、サービスを受ける前は毎回パスワードを入力する設定にすることが大事。パスワードがわからなければ二段階認証までたどり着きませんからね。
次が、SMSメッセージじゃなく、Authenticatorを使う。過去に使っていた一世代前のスマホをWiFi接続で使えるように残して、そこにAuthenticatorをインストールして使えば、(ひと手間かかりますが)全機能を一台のスマートフォンに集中させるより安全。とは言え、銀行サイドがSMSワンタイムパスワードしか使えるようにしていないのであれば仕方ない。その場合、オフラインの紙形式の第二パスワードを使えば、乗っ取りとは無縁。銀行はAuthenticatorを使えって言ってきますが、SIMスワップ詐欺を考えると、SMSワンタイムパスワードよりも、第二パスワードの方が安全だと思います。
もっと簡単な対策は、対面窓口がない格安SIMキャリアのSIMを使うこと。普通格安SIMキャリアは、SIMの同番再発行はしていないので、SIMスワップ詐欺に会うことは無いはず。何かするにしても郵送だし。
報道内容を実際にブレークダウンして考えてゆくと、この記事、分析が甘すぎるか、報道によるやらせのような気がしてきます。ガードが甘い人はいくらでもいるので、実際にSIMスワップ詐欺に会っている人はいるのだと思いますよ。しかし、ガードするのは簡単だし、携帯ショップの責任でブロックすることも簡単だと思えます。携帯ショップはなぜ、それをやらない?
私がデータ専用格安SIMを使っていて、キャリアの携帯ショップを利用しないから実情がわからないのか?
モヤモヤする報道でした。