タイのSIMスワップ詐欺:AIS・TRUE・DTAC経由で銀行口座が空にされる手口
タイのAIS、TRUE、DTAC顧客を狙うSIMスワップ詐欺の仕組みを解説。SIMスワップから口座流出までの攻撃チェーンとキャリア別の保護手順。
タイのSIMスワップ詐欺:AIS・TRUE・DTAC経由で銀行口座が空にされる手口
SIMスワップ詐欺は、タイの消費者を狙う最も壊滅的なサイバー攻撃の1つです。リンクをクリックしたり情報を共有したりする必要があるフィッシングとは異なり、SIMスワップはあなた自身が何もしなくても起こり得ます。攻撃者が携帯キャリアを説得して電話番号を新しいSIMカードに移行させると、突然、あなた宛ての全ての通話、SMS、OTPコードが攻撃者に届くようになります。
SMSベースのOTP認証にモバイルバンキングや電子ウォレットが大きく依存するタイでは、SIMスワップが成功すると数分で銀行口座が空にされる可能性があります。
SIMスワップ攻撃のチェーン
攻撃チェーン全体を理解することで、どの段階でも発見・阻止できるようになります。
ステージ1:情報収集
攻撃者は以下を通じてあなたの個人情報を収集します。
- SNSプロフィール(氏名、誕生日、電話番号)
- データ漏洩(ダークウェブで売買される流出データベース)
- フィッシング攻撃(ID番号を収集する偽フォーム)
- 物理的な観察(キャリアショップであなたの画面を覗き見)
ステージ2:SIMスワップ
あなたの個人情報を揃えた攻撃者は、キャリアショップを訪問するかカスタマーサービスに電話します。あなたになりすまし、「紛失」や「故障」を理由にSIMの交換を要求します。一部のケースでは、キャリアの不正な従業員が賄賂を受けてスワップに加担します。
ステージ3:OTP傍受
新しいSIMが有効化されると、あなたの電話は全ての電波を失います。攻撃者は以下を受信できるようになります。
- バンキングOTPを含む全てのSMSメッセージ
- 銀行の確認コールバックを含む電話
- メール、SNS、アプリのパスワードリセットコード
ステージ4:アカウント乗っ取りと資金流出
攻撃者は迅速に行動します。
- SMS OTPを使ってモバイルバンキングのパスワードをリセット
- SCB EASY、K PLUS、Bualuangなどのバンキングアプリにログイン
- PromptPay経由でミュール口座に送金
- TrueMoney Wallet、Rabbit LINE Payなどの電子ウォレットを空に
- メールやSNSのパスワードを変更してあなたをロックアウト
SIMスワップから口座が空になるまでの合計時間:多くの場合15分以内
攻撃チェーンのタイムライン
| ステージ | 何が起こるか | 時間 | あなたの警告サイン |
|---|---|---|---|
| 1. 情報収集 | 攻撃者があなたのデータを収集 | 数日〜数週間 | なし(無音) |
| 2. SIMスワップ(สวอปซิม) | 番号が新しいSIMに移行 | 5〜30分 | 電話の電波が突然消える |
| 3. OTP取得 | 攻撃者があなたのOTPを受信 | 即座 | SMSが届かなくなる |
| 4. 銀行流出 | 送金される | 5〜15分 | 銀行通知(メール経由の場合) |
| 5. ロックアウト | 全アカウントのパスワード変更 | 10〜30分 | どこにもログインできない |
キャリア別の保護手順
AIS(1175)
- SIMロックPINを設定 — AISショップでSIM変更に必要なPINを設定
- AIS Secureを有効化 — アカウント変更時の追加本人確認
- 生体認証を登録 — AISフラッグシップストアで指紋認証を追加
- セルフサービス変更を制限 — SIMスワップは対面でのID確認のみに要求
- AISアカウントを監視 — myAISアプリで不審な操作を定期的にチェック
TRUE(1242)
- SIM変更PINを設定 — TRUEストアでSIM交換用の専用PINを要求
- TrueID確認を有効化 — 追加セキュリティのためにTrueIDアカウントを連携
- 対面のみのSIMスワップを要求 — スワップに物理的な来店を必須とするようTRUEに依頼
- 現在のIDでSIMを登録 — 登録情報が最新であることを確認
- TRUEアカウント通知を有効化 — アカウント変更のアラートを受信
DTAC(1678)
- セキュリティPINを設定 — DTACセンターでSIM変更用のPINを設定
- 強化認証を要求 — SIM操作に追加のID要件を依頼
- アカウント情報を最新に保つ — 古い情報はソーシャルエンジニアリングを容易にする
- dtacアプリで監視 — 不正な変更を定期的にチェック
- アラートを有効化 — アカウント変更の通知をオン
SIMスワップが疑われる場合の対処
電話の電波が予期せず途切れた瞬間(地下室や電波の悪い場所でない場合)、直ちに行動してください。
- 別の電話でキャリアに電話 — AIS: 1175、TRUE: 1242、DTAC: 1678
- SIMスワップが要求されたか確認 — されていた場合、即座の取り消しを要求
- 銀行に電話 — 電話番号に紐づいた全口座を凍結
- 全パスワードを変更 — メール、バンキング、SNS(別のデバイスから)
- TrueMoney、Rabbit LINE Payなど全ての電子ウォレットに通知
- 警察に届け出 — thaipoliceonline.comまたは最寄りの警察署
- 1441に電話 — アンチオンライン詐欺オペレーションセンター
リカバリー情報を保護する
電話番号は、ほとんどのアカウントセキュリティにおける単一障害点です。バックアップリカバリーコード、代替連絡先番号、緊急アクセス情報を保存する必要がある場合、SIMと一緒に消えてしまうLINEのチャットやスマートフォンのメモに保存しないでください。LOCK.PUBを使って、どのデバイスからでもアクセスできる暗号化・パスワード保護付きメモを作成しましょう。2FAバックアップコード、リカバリーメール、緊急連絡先を、あなただけがロック解除できる安全なメモに保存できます。
SIMスワップに対する高度な保護
SMS依存を減らす
- アプリベースの2FA(Google Authenticator、Microsoft Authenticator)を可能な限りSMS OTPの代わりに使用
- プッシュ通知を有効化 — バンキングアプリからの代替確認方法として
- メールベースのアラートを設定 — バックアップ通知チャネルとして
露出を制限する
- SNSや公開フォーラムに電話番号を投稿しない
- バンキングや金融サービス用に別の電話番号を使用
- 発信者IDに注意 — 詐欺師はどんな番号でも偽装可能
- 電話番号やキャリア情報が記載された書類はシュレッダーにかける
継続的に監視
- キャリアアカウントを毎週チェック — 不正な変更がないか
- 電波を確認 — 十分な電波状態にもかかわらず途切れた場合はテスト
- 銀行取引アラートをメールで設定(SMSだけでなく)
- 信用情報を定期的に確認 — 国家信用情報機関で
まとめ
SIMスワップ詐欺は、あなたの行動ではなく通信システムの弱点を悪用するため、特に危険です。最善の防御は予防的なものです。キャリアでSIM変更PINを設定し、SMSベースのOTPへの依存を減らし、電話の電波が予期せず途切れた場合は数分以内に行動しましょう。
重要なリカバリー情報を安全に保管するには、LOCK.PUBで、パスワードでのみアクセスできる無料の暗号化メモを作成できます。
キーワード
こちらもおすすめ
ThaiDデジタルIDアプリのセキュリティ:フィッシングリスクと安全な使い方
タイのThaiDデジタルIDアプリを悪用したフィッシング、偽政府通知、データ流出の手口を解説。ThaiDを安全に使うためのガイド。
企業向けPIXセキュリティ:加盟店アカウントを詐欺から守る方法
偽支払いスクリーンショット、QRコードすり替え、ソーシャルエンジニアリング攻撃など、ブラジルの加盟店を狙うPIX詐欺からビジネスを守る方法。
タイのPromptPay QRコード詐欺:お金を守るための完全ガイド
タイでPromptPay QRコードを悪用した偽オーバーレイ、不正請求、SMSフィッシングの手口を解説。確認チェックリスト付き。