SIMスワップはどんな手口で行われるのか
SIMスワップは、以下のような手口で行われることが多い。
攻撃者が対象ユーザーの個人情報(住所、氏名、生年月日、携帯電話番号、契約会社、クレジットカード番号)を事前に調査する。調査した情報を元に身分証明書を偽造する。今回の場合では、身分証明書として偽造マイナンバーカードが使用されたとのことだ。
次のステップとしては以下の2通りが考えられる。
(1)SIMを紛失したと偽る:携帯電話ショップに来店し、契約者になりすましてSIMを紛失したと偽り、SIMの再発行を要求する。
(2)携帯電話会社を切り替える:MNP(携帯番号ポータビリティ制度)を悪用し、被害者の携帯電話会社を解約し、電話番号を引き継いで別の携帯電話会社と契約を行う。
いずれの場合も、ショップなどでは身分証明書の確認やコピーの取得を行う。この時に偽造した身分証明書を見破れなかった場合、悪意の攻撃者にユーザーの番号の入ったSIMを渡してしまう、つまり電話番号を乗っ取らせることになってしまう。そうすると、悪意のユーザーは乗っ取った電話番号を使って二段階認証を突破し、オンラインバンクやクレジットカードを悪用する可能性が出てくるわけだ。
身分証明書に載るような情報がネットに公開されていると危険
松田議員に関しては、市民からの相談を受けるために、ホームページに個人情報(住所、氏名、生年月日、携帯電話番号など)を掲載していたという。被害後、携帯電話の番号などの情報は削除したということだが、これらの情報の掲載が悪意の攻撃者に利用された可能性は否定できないだろう。
業務上などで自分の生年月日や電話番号といった情報をインターネットに置きっぱなしにしていないか、これをお読みの皆様には十分注意していただきたい。
松田議員のようにインターネットに情報を公開していなくても、例えば名簿などの資料をインターネットに置きっぱなしにしているケースはないだろうか? インターネットを検索すると、ExcelやPDFなどの形で、人物の氏名、住所、生年月日、携帯電話の番号が記録されたリストを簡単に見つけることができる。
携帯電話会社が身分証明書のチェックをずさんに行うと~つまり、住所、氏名、生年月日、性別が従来の電話番号の持ち主と合致することを簡単に目視確認するだけであれば~写真は実行犯のもので、表面上の情報だけが合っている偽造マイナンバーカードを用意すれば、上記の「インターネットで拾ってきたリスト」をSIMスワップ攻撃の標的にすることは十分可能だ。
松田議員の場合、市民からの相談などに対応するため携帯電話の番号もWebサイトに載せていたことが原因ではないかと考えられている(現在は削除済み)。適当な人物の氏名、住所、生年月日、携帯電話の番号が記録された名簿をインターネットで見つけ、偽造マイナンバーカードを作る……それだけでSIMスワップ詐欺は行えてしまうのだ。