SIMスワップ詐欺対策

SIMスワップ詐欺とは：通信の乗っ取り

• 攻撃者が本人になりすまして携帯電話会社に連絡し、SIMカードを再発行させることで、被害者の電話番号を自分の端末に奪い取る手口である。
• 電話番号が奪われると、二段階認証のSMS（ショートメッセージ）や自動音声による認証コードがすべて攻撃者の元へ届くようになる。
• これにより、銀行口座、SNS、クラウドサービスなどのアカウントが次々と乗っ取られ、甚大な金銭的被害や情報漏洩に直結する。

攻撃者が狙う情報の入り口

• 個人情報の事前入手: フィッシング詐欺やSNS、過去の情報漏洩リストから、氏名、生年月日、住所、電話番号などをあらかじめ収集している。
• 本人確認の突破: 偽造した本人確認書類（マイナンバーカードや免許証）を利用して、店頭やオンラインで機種変更や再発行を申し込む。
• 物理的な隙: 配送されたSIMカードをポストから抜き取る、あるいはスマホそのものを一時的に盗んで情報を盗み見るケースもある。

SIMスワップを未然に防ぐ設定と対策

• SIMカードの暗号化（SIM PIN）: SIMカード自体にパスワードをかける設定を有効にする。これを設定すると、端末を再起動したりSIMを差し替えたりする際にPINコードが必要になり、不正利用のハードルが上がる。
• eSIMへの切り替え: 物理的なカードが存在しないeSIMを利用することで、カードの抜き取りや偽造による再発行リスクを低減できる場合がある。
• 通信会社のセキュリティ強化: 携帯キャリアが提供している「機種変更時の本人確認強化」などのオプションがあれば、必ず有効にしておく。

SMS認証に頼らない「脱SMS」の推奨

• 認証アプリ（Authenticator）への移行: 二段階認証の手段として、SMSではなくGoogle AuthenticatorやMicrosoft Authenticatorなどの認証アプリを利用する。これらは電話番号ではなく「端末」に紐付くため、SIMを奪われてもコードは盗まれない。
• 物理セキュリティキーの活用: YubiKeyなどの物理的なデバイスを認証に利用する。これが最も強固な対策であり、SIMスワップの影響を完全に排除できる。
• バックアップコードの管理: 認証アプリを利用する際は、スマホの故障や紛失に備えて発行される「バックアップコード」を、ネットから切り離した安全な場所に保管する。

予兆を察知した際の即時対応

• 「突然の圏外」に警戒: Wi-Fi環境下でないのに突然アンテナが消え、「SIMが無効」などの表示が出た場合は、直ちに別の電話から携帯会社に連絡し、回線を一時停止させる。
• 不審な通知のチェック: 「機種変更の手続きを受け付けました」といったメールが身に覚えなく届いた場合、1分1秒を争う事態であると判断し、即座にキャリアと銀行へ連絡する。
• アカウントのログイン履歴を確認: 予兆を感じたら、主要なサービス（Google、Apple、銀行など）のログイン履歴を確認し、見知らぬ端末からのアクセスがあれば強制ログアウトさせる。

守るべきプライバシーの境界線

• SNSでの個人情報露出を控える: 電話番号や生年月日、住所を特定できる情報をネット上に公開しない。
• キャリアの管理画面パスワードの強化: 携帯会社のマイページ（My docomo, My au, My SoftBankなど）のパスワードを使い回さず、強力なものに設定する。ここが突破されると、オンラインでSIM再発行の手続きをされる恐れがある。