SIM スワッピングとは

この記事は約 2 分で読めます

SIM スワッピングとは、攻撃者が携帯電話会社に対して 被害者になりすまし、SIM カードの再発行や番号の移行を行うことで、 被害者の電話番号を乗っ取る攻撃手法です。 SMS で送信される二段階認証コードを傍受し、 銀行口座や暗号資産取引所のアカウントを不正に操作します。 2024 年には FCC が SIM スワッピング対策の新規則を施行し、 携帯電話会社に追加認証の義務化を求めています。

現場での使用例

「顧客から『突然携帯電話が圏外になった』との連絡を受け、 SIM スワッピングを疑いました。調査の結果、攻撃者が ソーシャルエンジニアリングで携帯ショップの店員を騙し、 SIM の再発行に成功していたことが判明。 SMS 認証を突破されて暗号資産口座から約 300 万円が流出しました。」

SIM スワップフロー

歴史的背景

SIM スワッピングは 2018 年頃から暗号資産の普及とともに急増しました。 米国では 2019 年に Twitter CEO のアカウントが SIM スワッピングで 乗っ取られる事件が発生し、社会的な注目を集めました。 FBI の報告によると、2021 年の SIM スワッピング被害額は 約 6,800 万ドルに達しています。日本でも携帯電話の 不正な MNP (番号ポータビリティ) を利用した被害が報告されています。モバイルセキュリティの入門書 (Amazon)で体系的に学べます。

防御方法

最も重要な対策は、SMS ベースの二段階認証からTOTP アプリ (Google Authenticator、Authy) やパスキーへの移行です。 SMS 認証は SIM スワッピングに対して脆弱であり、 NIST も SMS 認証の使用を推奨していません。 携帯電話会社に PIN コードやパスフレーズを設定して SIM の再発行に追加認証を要求することも有効です。 パスつく.com で生成した強力なパスワードで 携帯電話会社のオンラインアカウントを保護し、スマートフォンのロックを 強化することで、SIM スワッピングのリスクを大幅に低減できます。認証セキュリティの書籍 (Amazon)も参考になります。