スマホを乗っ取る｢SIMハイジャック｣驚きの手口 偽造身分証で｢なりすまし｣被害増加の背景

スマホ本体が変わっても、SIMに書き込まれた電話番号が同じであれば、すべての通信は電話番号と紐づいた契約者のものとして扱われる。つまり、本人になりすましてSIMの再発行や機種変更を行えば、スマホを乗っ取ることができるというわけだ。

インターネットバンキングやオンライン決済などでは、認証コードを携帯電話のSMSで送ってくることがある。通常は、自分のスマホに送られてくるので、覚えのないログインや決済はここで気づくことができる。

しかし、電話番号はすでに乗っ取られているので、ワンタイムパスワードやパスコードは犯人のスマホに送られることになる。

この状態で標的のメールアドレスがわかれば（なりすましに成功している時点で、氏名、生年月日、住所などは把握しているはず）、インターネットバンキングや各種サービスのログイン、パスワードを含む設定変更が可能になってしまう。

Apple IDやGoogleアカウントにログインできれば、ブラウザなどに保存されたSNSのログイン状態を引き継げることにもなる。生年月日などがわかっているので、誕生日や住所、車のナンバーなどを利用した弱いパスワードは破られる可能性もある。

どうやって本人になりすますのか

なりすましは、相手になりすましを悟られなければ成功する。対面で本人の家族や知り合いをだますのは簡単ではないが、そうでなければ対面、オンラインともにハードルは下がる。

一般的な本人確認では、氏名と生年月日を証明するものがあれば本人とみなすことができる。これに住所や電話番号などが加われば個人はほぼ識別でき、顔写真が入った証明書（免許証、パスポート、マイナンバーカードなど）であれば、さらに精度は上がる。

この認証が成立するのは、本人が提示する証明書が本物であること、書かれている情報が本当に本人の情報であることが前提となる。しかし、証明書や鍵など所有物による証明は、持ち主と証明書の組み合わせが正しいかどうかは保証できない。偽物や偽称、不正に得た証明書に対して無力である。

SIMハイジャックにおいては、偽造された免許証、保険証、マイナンバーカードで本人確認をパスする。対面の本人確認でも、写真を自分のものに差し替えれば初対面の人なら真贋のチェックはできない。

オンラインでは、証明書のICチップを使うことで、偽造カードや書類によるなりすましを見破ることができる。免許証やパスポート、マイナンバーカードにはICチップが内蔵されている。