SIMスワップ詐欺とは?電話番号乗っ取りで銀行口座が空にされる手口
SIMスワップ攻撃の仕組み、docomo・au・SoftBankで発生する事例、SMS OTPの危険性、そして効果的な対策を解説します。
SIMスワップ詐欺とは?電話番号乗っ取りで銀行口座が空にされる手口
普段通りスマートフォンを使っていたら、突然圏外になった。電話もSMSも通じない。数分後、銀行口座から覚えのない送金が実行されていた——これがSIMスワップ詐欺です。日本でも被害が急増しています。
SIMスワップ攻撃の仕組み
SIMスワップとは、犯罪者が携帯キャリアを騙して、被害者の電話番号を犯罪者が持つ別のSIMカードに移す攻撃です。
典型的な攻撃の流れ:
- 個人情報の収集 — 氏名、生年月日、マイナンバーカード情報などをデータ漏洩やフィッシングで入手
- 偽造書類の準備 — マイナンバーカードや運転免許証を偽造
- キャリアショップへ来店 — docomo、au、SoftBankの店舗で「SIM紛失」として再発行を依頼
- 新しいSIMを有効化 — 被害者のSIMが無効になり、犯罪者のSIMが全ての通話・SMSを受信
- 口座乗っ取り — 銀行のOTPを傍受、パスワード変更、不正送金を実行
| 段階 | 所要時間 | 被害者の認知 |
|---|---|---|
| 情報収集 | 数日〜数週間 | 不可能 |
| ショップでSIM交換 | 15〜30分 | 突然の圏外 |
| 口座からの出金 | 5〜10分 | 銀行通知(受信できれば) |
SIMスワップが極めて危険な理由
SMS認証の脆弱性
日本の多くの銀行(三菱UFJ、三井住友、みずほ、楽天銀行など)やサービスは、依然としてSMS OTPを認証に使用しています。犯罪者があなたの番号を取得すると:
- 銀行の全てのOTP を傍受
- メールアカウント(Gmail、Yahoo!メール)のパスワードをリセット
- 決済サービス(PayPay、LINE Pay、楽天ペイ)に不正アクセス
- 電話番号認証に依存する全サービス を乗っ取り
金銭以外の被害
- 被害者名義でのローン申請
- SNSアカウント乗っ取りによる知人への詐欺
- 個人情報の流出と二次被害
SIMが乗っ取られた兆候
早期発見が被害を最小限に抑えます:
- 突然の圏外 — 電波が良い場所で「圏外」表示
- 電話・SMSが届かない — 相手は掛けたと言うが履歴がない
- SIM変更の通知 — キャリアからSIM交換の通知メールが届く
- アプリにログインできない — 銀行アプリやメールに突然アクセスできなくなる
- パスワード変更通知 — 自分で操作していないパスワード変更メールが届く
これらの兆候が一つでもあれば、直ちに対応してください。
SIMスワップの予防策
1. キャリアでSIM PINを設定
SIM変更時に追加認証を要求するよう設定:
- docomo: My docomoアプリまたは151に電話
- au: My auアプリまたは157に電話
- SoftBank: My SoftBankアプリまたは157に電話
2. SMS認証からアプリ認証への切り替え
| 認証方式 | セキュリティ | 例 |
|---|---|---|
| SMS OTP | 低 | テキストメッセージのコード |
| 認証アプリ | 高 | Google Authenticator、Authy |
| 生体認証 | 高 | 指紋認証、顔認証 |
| ハードウェアキー | 非常に高い | YubiKey |
3. 個人情報の露出を最小限に
- マイナンバーや生年月日をSNSに公開しない
- 不審なメールやSMSのリンクを開かない
- 金融サービス用のメールアドレスを別に用意
4. アプリのプッシュ通知を有効化
SMS通知だけでは、SIMが乗っ取られると届きません。アプリのプッシュ通知を必ずオンにしましょう。Wi-Fi経由で通知を受け取れます。
SIMが乗っ取られた場合の緊急対応
時間が勝負です。以下の順序で対応:
- キャリアに即電話(別の電話を使用)— SIMの停止と番号の復旧を要求
- 銀行に連絡 — 全口座・カードの一時凍結を依頼
- 重要アカウントのパスワード変更(メール、銀行、決済サービス)
- キャリアショップに来店 — 本人確認書類(マイナンバーカード原本)を持参して番号を復旧
- 警察に被害届 — サイバー犯罪相談窓口に連絡
- フィッシング対策協議会 に報告
| 連絡先 | 電話番号 |
|---|---|
| docomo | 151 |
| au | 157 |
| SoftBank | 157 |
| 警察相談 | #9110 |
| サイバー犯罪相談 | 各都道府県警察 |
リカバリーコードを安全に保管する — LOCK.PUB
認証アプリ(Google Authenticator等)に切り替えると、リカバリーコード(復旧コード)が発行されます。スマホを紛失した際の唯一の「緊急鍵」です。
問題点: スマホのメモに保存すると端末と一緒に失われます。スクリーンショットはセキュリティリスクがあります。LINEで送ると他人に見られる可能性があります。
解決策: LOCK.PUBでシークレットメモを作成し、リカバリーコードを貼り付け、パスワードを設定して、自分自身や信頼できる家族にリンクを共有しましょう。内容は暗号化され、パスワードなしでは閲覧できません。
LOCK.PUBでは有効期限も設定できるため、機密情報がオンラインに永久に残ることを防げます。
まとめ
SIMスワップ詐欺は、SMS OTPに依存する日本の金融環境において深刻な脅威です。キャリアでのSIM PIN設定、アプリベースの認証への切り替え、そしてLOCK.PUBでのリカバリーコードの安全な保管により、被害リスクを大幅に軽減できます。
圏外になってからでは遅いのです。 今すぐSIMのセキュリティを強化しましょう。
➡️ LOCK.PUBでシークレットメモを作成 — 2FAリカバリーコードを安全に保管しましょう。