CyberFix Note
攻撃手法・脅威動向

SIMスワップで電話番号が奪われる仕組みとSMS認証を見直す対策

対象の目安: 一般利用者から情報システム担当まで

リク編集長 / セキュリティ全般・戦略
・ 約12分で読めます
SIMスワップで電話番号が奪われる仕組みとSMS認証を見直す対策

SIMスワップは、攻撃者が本人になりすまして携帯電話事業者に回線の再発行やeSIMの乗り換えをさせ、利用者の電話番号を自分の管理する端末へ移し替える手口です。番号を奪うと、その番号あてに届くSMSの認証コードや、電話にかけて確認する本人確認を攻撃者が受け取れるようになります。パスワードに加えてSMSで守っていたはずの銀行やSNS、メールが、第二要素ごと攻撃者の手に渡ってしまう点が、この手口の怖さです。SIMハイジャック、SIM乗っ取りとも呼ばれます。

攻撃の入口は、利用者の端末を壊すことではなく、携帯電話事業者の本人確認をなりすましで通すことにあります。FBIのインターネット犯罪苦情センター(IC3)は、攻撃者がソーシャルエンジニアリングや内部不正、フィッシングで得た情報を使い、事業者に本人と信じ込ませてSIMを付け替えると報告しています。本記事は、SIMスワップとは何か、攻撃者が電話番号を奪う流れ、なぜSMS認証が弱点になるのか、急な圏外という予兆と初動、そして利用者と組織それぞれの備えを、一次情報をもとに整理します。

SIMスワップとは何か

SIMスワップは、電話番号を管理している携帯電話事業者に対して、攻撃者が契約者本人になりすまし、番号の割り当て先を自分の端末へ切り替えさせる手口です。SIMカードを新しく再発行させる場合と、物理カードを伴わないeSIMのプロファイルを別端末へ発行させる場合があります。いずれも、正規の利用者が使っている端末では番号が使えなくなり、攻撃者の端末でその番号が生き始めます。

なりすましを成立させる材料は、正規の利用者から集めた個人情報です。FBIのIC3は、攻撃者がフィッシングやSNSで得た氏名や生年月日、住所などを使い、電話や店頭で本人を装って事業者の確認を突破すると説明しています。事業者の窓口で暗証番号や本人確認書類を求められても、あらかじめ集めた情報や偽造した書類で乗り切ろうとします。攻撃者が狙うのは端末の脆弱性ではなく、人による本人確認の穴です。

被害の規模は数字にも表れています。FBIのIC3は、2021年にSIMスワップに関する申告を1,611件受け、被害額は6,800万ドルを超えたと報告しました。2018年1月から2020年12月までの申告が320件、被害額が約1,200万ドルだったのに比べ、短期間で大きく増えたことになります。海外を中心にSIMの再発行や番号ポーティングをかたる乗っ取りが報告されており、番号を第二要素の受け口にしている限り、地域を問わず標的になり得ます。

攻撃者が電話番号を奪う流れ

SIMスワップは、事前の情報収集から番号の奪取、そして口座やアカウントの乗っ取りへと段階的に進みます。攻撃者はまず、標的の氏名や生年月日、利用している携帯電話事業者、銀行やSNSのアカウントなどを、フィッシングやSNSの公開情報、過去の情報漏えいデータから集めます。誰の番号を、どの事業者から奪えばどのアカウントに届くかを見定める段階です。

材料がそろうと、攻撃者は事業者になりすましの手続きを持ち込みます。電話や店頭で契約者を装い、端末を紛失した、機種変更したなどと理由をつけて、SIMの再発行やeSIMの乗り換えを求めます。確認が通ると番号は攻撃者の端末へ移り、正規の利用者の端末は圏外になります。ここから攻撃者は、奪った番号あてに届くSMSコードや、番号あての音声通話による本人確認を受け取れる立場になります。

最後の段階が、番号を鍵にしたアカウントの乗っ取りです。攻撃者は銀行やSNS、メールのログイン画面でパスワードのリセットや二段階認証を進め、番号あてに届くコードを自分で受け取って本人確認を通します。メールを押さえられると、そこに紐づく他のサービスの復旧まで連鎖しやすくなります。SNSアカウントが乗っ取られたときの被害の広がりや復旧は、関連記事で扱っています。

あわせて読みたい

SNSアカウントの乗っ取りが起きる仕組みと利用者ができる対策

SIMスワップが成立するまでの流れ

  1. 1

    フィッシングやSNS、漏えいデータから標的の氏名や生年月日、契約している携帯電話事業者やアカウントを集める

  2. 2

    電話や店頭で契約者になりすまし、紛失や機種変更を理由にSIMの再発行やeSIMの乗り換えを申し込む

  3. 3

    本人確認が通ると番号が攻撃者の端末へ移り、正規の利用者の端末は圏外になる

  4. 4

    銀行やSNSやメールで番号あてに届くSMSコードや音声確認を攻撃者が受け取り、本人確認を通す

  5. 5

    パスワードのリセットや二段階認証を突破してアカウントへ侵入し、送金や他サービスの乗っ取りへ広げる

なぜSMS認証が弱点になるか

SMS認証が弱点になる理由は、コードの届け先が電話番号に固定されており、その番号自体が事業者の本人確認を通せば別の端末へ移ってしまう点にあります。SMSやワンタイムパスワードは、本来その番号を持つ端末だけが受け取れることを前提にした仕組みです。SIMスワップはこの前提を崩し、番号ごと攻撃者の端末に移すため、コードは正規の利用者ではなく攻撃者の手元に届きます。第二要素そのものを盗むというより、第二要素の受け口を丸ごと奪う構造です。

この弱さは公的なガイドラインにも反映されています。NISTはデジタルアイデンティティのガイドラインSP 800-63B-4で、SMSやPSTN(公衆電話網)を経由して届けるワンタイムパスワードを制限付き(restricted)の認証方式に位置づけました。制限付きに分類された方式を使い続ける事業者には、SIMの付け替えや番号ポーティングといった異常の兆候を確認するなど、追加の条件が求められます。FBIのIC3やFTCも、SMSのテキストによる確認よりも、認証アプリやセキュリティキーを使うよう促しています。

同じ多要素認証でも、方式によって狙われやすさは変わります。認証アプリが生成するコードは端末内で作られ、電話番号には紐づかないため、番号を奪われても攻撃者の端末では同じコードを作れません。パスキーやFIDO2のセキュリティキーは、認証が接続先のドメインに暗号的に結び付き、鍵は端末から出ないため、番号の奪取だけでは成立しません。SMSやパスワードのように「その場で有効なコード」を届ける方式は中継や横取りに弱く、パスキーやFIDO2のような方式は構造的に強い、という違いがあります。方式ごとの強度や使い勝手の整理は関連記事で扱っています。

あわせて読みたい

多要素認証(MFA)の選び方と導入の勘所。方式比較から運用まで徹底解説

なお、SMS認証を狙う手口はSIMスワップだけではありません。偽サイトが入力されたコードをその場で正規サイトへ中継するリアルタイムフィッシングでは、番号を奪わなくてもSMSコードが突破されます。受け口を奪うSIMスワップと、その場で中継するリアルタイムフィッシングは経路が違いますが、いずれもSMSやワンタイムパスワードの弱さを突く点は共通します。中継型の手口は関連記事で扱っています。

あわせて読みたい

リアルタイムフィッシングが多要素認証を中継して突破する仕組み

急な圏外という予兆と初動

SIMスワップは、番号が別の端末へ移った瞬間に正規の利用者の端末で通信が使えなくなるため、予兆が現れやすい手口です。心当たりがないのに突然圏外になり、通話やSMSが使えなくなったときは、電波障害だけでなくSIMスワップの可能性も念頭に置きます。あわせて、身に覚えのないSIM再発行や機種変更の通知、アカウントのパスワード変更やログインの通知が届いた場合も、番号を起点にした乗っ取りが進んでいる兆候になり得ます。

注意

急に圏外になり通話やSMSが使えなくなったうえ、身に覚えのないSIM再発行やパスワード変更の通知が届いた場合は、番号が奪われている可能性があります。別の通信手段で携帯電話事業者へ連絡し、回線の停止と復旧を依頼したうえで、銀行やメールなど重要な口座の状態を確認します。

初動は速さが被害の大きさを左右します。FTCは、SIMスワップに気づいたらすぐ携帯電話事業者へ連絡して番号の管理を取り戻し、そのうえでアカウントのパスワードを変更し、クレジットカードや銀行など金融口座に不正な取引がないか確認するよう案内しています。攻撃者は番号を奪ってから短時間で送金やアカウント乗っ取りへ進むため、事業者への連絡と口座の確認を並行して進めることが、被害の拡大を抑える現実的な手段になります。

SIMスワップに気づいたときの初動

  1. 1

    別の電話やWi-Fi経由の連絡手段で携帯電話事業者へ連絡し、回線の停止と正規端末での復旧を依頼する

  2. 2

    銀行やメール、SNSなど重要なアカウントのパスワードを、SMSに頼らない方法で変更する

  3. 3

    金融口座の取引明細とログイン履歴を確認し、不正な送金や見覚えのないアクセスがないか調べる

  4. 4

    不正送金や不正利用があれば、金融機関や決済事業者、必要に応じて警察へ相談する

利用者ができる備え

利用者側の備えは、番号を奪われにくくすることと、番号を奪われてもアカウントが連鎖して落ちない状態を作ることの二つに分かれます。前者はキャリアの手続きを固める対策、後者は認証をSMSに依存させない対策です。

番号を守るうえでまず確認したいのが、携帯電話事業者が用意する暗証番号や、手続き時の本人確認を強める設定です。多くの事業者では、契約時に設定する暗証番号や、SIM再発行時の追加確認、店頭手続きの制限などが用意されています。これらを設定しておくと、なりすましの手続きが通りにくくなります。あわせて、SNSや公開プロフィールに氏名や生年月日、電話番号を必要以上に載せないことも、攻撃者の材料集めを難しくします。

番号を奪われても連鎖を防ぐ中心は、SMSに頼らない多要素認証への切り替えです。銀行やSNS、メールで、SMSコードの代わりに認証アプリやパスキー、セキュリティキーを使える場合は、そちらへ移すと番号奪取だけでは突破されにくくなります。とくにメールは他サービスの復旧の起点になりやすいため、優先して固めておくと連鎖を止めやすくなります。パスキーの仕組みは関連記事で扱っています。

あわせて読みたい

パスキーとは。パスワードのない世界へ、仕組みと使い方・移行を解説

利用者のSIMスワップ対策

  • 携帯電話事業者の暗証番号を設定し、SIM再発行や機種変更時の本人確認を強める設定を確認したか
  • 銀行やメール、SNSの認証をSMSから認証アプリやパスキー、セキュリティキーへ切り替えたか
  • 他サービスの復旧の起点になるメールを優先して、SMSに依存しない認証で固めたか
  • SNSや公開プロフィールに氏名や生年月日、電話番号を必要以上に載せていないか
  • 急な圏外やSIM再発行の通知に気づける状態か、気づいたときの連絡先を把握しているか

組織ができる備え

組織側の備えは、従業員個人の番号奪取が業務アカウントの侵害につながらないよう、認証の設計と復旧経路を見直すことが軸になります。役員や情報システム管理者、経理など、権限や資金に近い立場の人ほど標的になりやすいため、これらの立場から優先して固めます。

認証の設計では、業務システムやクラウドの多要素認証をSMSやワンタイムパスワードだけに頼らせず、パスキーやFIDO2などフィッシング耐性のある方式を主軸に据える方向が推奨されています。CISAはモバイル通信の推奨事項として、フィッシング耐性のある認証の利用と、SMSに依存した多要素認証を避けることを挙げています。SMSを補助的に残す場合でも、重要な操作や高権限の操作には強い方式を必須にする設計が有効です。

復旧経路の見直しも欠かせません。アカウントのパスワードリセットや多要素認証の再登録が電話番号だけで通ってしまうと、番号を奪われた時点でその経路が突破口になります。復旧に番号以外の確認を組み合わせ、SIMスワップやポーティングの兆候を検知の対象に加えることで、番号奪取から業務侵害への連鎖を断ちやすくなります。日本では、総務省が携帯電話事業者の本人確認方法の見直しを進めており、なりすましによる不正な回線取得を抑える制度面の動きも続いています(執筆時点)。制度と自組織の設計の両面から、番号を起点にした侵害を想定した備えが求められます。

本記事のSIMスワップの手口と被害規模(2021年に1,611件、被害額6,800万ドル超、2018年から2020年は320件、約1,200万ドル)はFBI IC3の2022年2月8日の公表にもとづきます。SMSやPSTN経由のワンタイムパスワードを制限付き認証方式とする位置づけはNIST SP 800-63B-4、フィッシング耐性のある認証の推奨とSMS依存の回避はCISAのモバイル通信推奨事項、初動の手順はFTCの消費者向け案内にもとづきます。国内の本人確認強化の動きは総務省の報道資料、脅威の位置づけはIPA情報セキュリティ10大脅威2026を参照しています。確認できない数値や固有名詞は記載していません。

SIMスワップの本質は、端末を壊すことではなく、電話番号という第二要素の受け口を、なりすましで事業者から奪う点にあります。番号を奪われると、SMSコードや電話の本人確認がそのまま攻撃者の手に渡り、銀行やSNS、メールが連鎖して落ちていきます。キャリアの暗証番号や本人確認を固めて番号を守る対策と、認証をSMSから認証アプリやパスキーへ移して番号奪取だけでは突破されない状態を作る対策、そして急な圏外に気づいたらすぐ事業者へ連絡する初動を重ねることが、利用者にも組織にも共通する現実的な防御になります。

出典・参考

この記事をシェア

関連する記事

攻撃手法・脅威動向

リアルタイムフィッシングが多要素認証を中継して突破する仕組み

偽サイトが入力したIDやパスワード、ワンタイムパスワードをその場で正規サイトへ中継し、認証済みセッションを奪うリアルタイムフィッシング(AiTM)の仕組みを解説します。なぜOTPやSMSでも突破されうるのか、ネットバンキング不正送金の現況、パスキーやFIDO2による構造的な対策までを一次情報をもとに整理します。

攻撃手法・脅威動向

SNSアカウントの乗っ取りが起きる仕組みと利用者ができる対策

LINEやInstagram、Xのアカウントが乗っ取られる手口を一般利用者向けに整理します。フィッシングや認証番号の聞き出し、パスワードの使い回しがなぜ不正ログインにつながるのか、二段階認証や端末の見直しといった守り方、乗っ取られたときの初動を一次情報をもとに解説します。