スマホを乗っ取る｢SIMハイジャック｣驚きの手口 偽造身分証で｢なりすまし｣被害増加の背景

ICチップには、そのカードが本物であるという鍵情報が書き込まれている。そして、このICチップ情報の変更、偽装は簡単ではない。マイナンバーカードはとくに偽造対策が何重にもほどこされており、書き込まれた情報を含めた偽造はほぼ不可能といっていい。

したがって、オンラインでの本人確認は、対応したリーダーにICチップを読み込ませれば、偽造されたものかどうかがすぐにわかる。偽造カードの作成は簡単だが、内部のICチップの情報まで本人のものと一致させることはほぼ不可能だからだ。

政府がスマートフォンの契約時に、マイナンバーカードを使う場合、店員の目視チェック（印刷情報のみの確認）ではなくカードリーダーでICチップを読み取る方法に限定しようとしているのはこのためだ。

どのような対策方法があるのか

SIMハイジャックの対策に、これといった決定打はない。複数の対策や予防措置を組み合わせるしかないだろう。

前提として、攻撃者側は、標的の氏名・生年月日・住所といった基本的な情報（各種証明書に記載がある基本情報）を取得する必要がある。簡単ではないが、フィッシング詐欺によってこれらの情報を取得することができる。SNSの書き込みを調べても入手可能だ。したがって、一般的なフィッシング詐欺対策（関連記事）やSNSなどでの公開情報の管理が、1つの対策になる。

なお、保険証、免許証やマイナンバーカードなどの偽造は、攻撃者側にとって何の障害にもならない。紙幣レベルの印刷でなければ、すかし、特殊インク、ホログラムシールなど、見た目にそっくりなカードはいくらでも作ることができる。

攻撃者が、SIMハイジャックが成功したあと、インターネットバンキングや各種サービスを利用するとき、ログインアラートをメールで受け取る設定（二要素認証、多要素認証など）をしていると、被害に気付くことができる。予防にはならないが、早期発見で被害を止めることができる可能性がある。

二要素認証などの認証コードをメールやSMSでの送信ではなく、認証アプリで受け取るようにすることも有効な対策の1つだ。認証アプリに対応するサービスは限られるが、SMSで受け取る設定より安全となる。

一方、企業契約のスマートフォンは、SIMハイジャックされる可能性は低い。契約内容や変更手順なども個人の場合と異なるので、免許証などでは法人になりすますことはできない。

可能性は低いが、例えば、通信事業者やショップ（の従業員）が攻撃者から報酬を提示されたら、SIMハイジャックに加担してしまうかもしれない。前述のように巨額が動くSIMハイジャックが起きている海外では、個人契約でも法人契約でもこの問題は起きうると指摘する専門家もいる。

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティーの最新動向、事業継続を可能にするために必要な情報をお届けしています。

著者フォローすると、中尾 真二さんの最新記事をメールでお知らせします。