携帯電話会社のマニュアルでは、NMP契約時や機種変更時に、使用していた携帯電話本体等を確認するなどの手続きも存在するが、一部の店頭ではマニュアルが順守されていない実態もある。攻撃者はこの実態さえリサーチしていた可能性もある。
そもそも 、SIMスワップの代表的手口である携帯電話の紛失に伴うSIMカード再発行の場合、使用していた端末の提示さえできないことになる。そのため、確認方法が限定的となり、攻撃者からすれば、身分確認さえ突破すればよいということになる。
このような問題点は、以前から指摘されている。総務省は、特殊詐欺対策を主眼としつつ、携帯電話契約時の本人確認を強化する検討会「ICTサービスの利用環境の整備に関する研究会」を開催している。
同研究会内に設置された「不適正利用対策に関するワーキンググループ」における資料「携帯電話不正利用防止法に基づく本人確認方法の見直しの方向性について(2024年4月)」では、携帯電話不正利用防止法施行規則を見直す方向で検討しており、その本人確認の強化方針について以下の通り示している。
<重点計画を踏まえた見直しの方向性(案)>
・顧客等から顔写真のある本人確認書類を撮影した画像情報の送信を受ける本人確認方法については、精巧に偽変造された本人確認書類が悪用されている実態に鑑み、廃止する。
・同様に、顧客等から本人確認書類の写しの送付を受ける本人確認方法についても、一般的に写しは偽変造が容易であり、その看破も困難であることから、廃止する。
・顔写真のない本人確認書類を用いる非対面の本人確認方法については、原則廃止するが、偽造・改ざん対策が施された本人確認書類(住民票の写し等)の原本の送付を受ける本人確認方法については、引き続き、一定条件の下、本人確認に利用可能とする。
・上記のほか、顔写真のない本人確認書類を用いる対面の本人確認方法についても、上記に準じて見直しを検討する。
この強化方針案を検討した上、2025年度以降の携帯電話不正利用防止法施行規則の改正・施行を目指しており、その実現が待たれる。だが、そもそも対面であろうと、マイナンバーカードのICを読み込むなどの確認を義務化するといった手段でなければ、防げないのではと考えるのが自然だろう。
ただし、マイナンバーカードのIC読み込みなどの義務化を実現するには、現場オペレーションの課題が山積しているとの声も聞こえてくる。また、総務省側も昨年6月に閣議決定された「デジタル社会の実現に向けた重点計画」で、“対面でも公的個人認証による本人確認を進める”としており、順次検討されるものとし、その実現を期待したい。
SIMスワップを防ぐために
注意すべき「三つの兆候」
では、SIMスワップに関して我々が注意すべきこととは何だろうか。
まず、SIMスワップでは、個人情報が重要な要素となる。
