はじめに、足元のeSIM悪用について理解しておこう。典型的な攻撃の流れはシンプルだが、だからこそ厄介である。まずはフィッシングや情報漏洩を通じて、利用者のID・パスワード、メールアカウント情報、キャリアアカウント情報が窃取される。攻撃者はそれを使って通信事業者やID連携サービスに不正ログインし、eSIMの再発行を申請する。
これにより、本来は本人に届くはずのSMS認証コードが攻撃者の端末に届く状態が作られる。あとは、銀行・EC・クラウド・グループウェアなどSMSを本人確認手段としているサービスのパスワード再設定を次々と突破するだけだ。被害は短時間で連鎖的に拡大する。
また、電話番号とSMSが依然として多くのサービスで「信頼できる本人確認手段」として扱われているため、アカウント開設の悪用にもつながっている。とくに本人確認が容易な通信サービスのeSIM発行を悪用し、大量のアカウントを作成して第三者への転売や、SMS認証の代行などが不法に行われている。
さらに、不正発行されたeSIMやSMS認証代行によって不正取得されたソーシャルメディアのアカウントや送金サービスのアカウントは、犯罪者によってロマンス詐欺や投資詐欺、不正送金、マネーロンダリングなどに悪用されている。
最近でも、中高生のグループが不正に入手したIDとパスワードを悪用し、大量の回線を契約。販売サイトを生成AIで構築して不正に回線を販売した事件も発生している。
最後の砦は「個人の注意」
こうした現状を受け、eSIM悪用やSIMスワップへの対策として、行政・業界ともに動きを加速させており、今年4月には改正「携帯電話不正利用防止法」が施行された。規制・運用強化の方向性は大きく3つに整理できる。
第一は、「本人確認の厳格化」である。オンラインでのeSIM再発行や契約変更の際に追加的な本人確認を求める運用が広がっている。例えば、従来より厳格なeKYC(electronic Know Your Customer、オンラインでの本人確認)で写真撮影方式は廃止され、マイナンバーカードや免許証のICチップ読み取りに統一された。
また、登録済み情報との照合強化、申し込み直後の利用制限など、盗んだ資格情報だけで一気に回線を乗っ取ることを難しくする仕組みが整備されつつある。これまでは本人確認が不要だったデータ専用SIMについても本人確認が義務付けられた。
次ページが続きます:
【個人がやるべき「5つの対策」とは?】
