日本でも発生中の詐欺「SIMスワップ」とは？ 手口と対策を解説



【元記事をASCII.jpで読む】

他人になりすましSIMカードを乗っ取る「SIMスワップ」。

海外で流行っていた詐欺が日本でも発生している。

ネットバンクからの不正送金や不正決済などを行うSIMIスワップの手口や事例、対策方法を解説する。

他人になりすましSIMカードを乗っ取る「SIMスワップ」。海外で流行っていた詐欺が日本でも発生している。乗っ取った後は、SMSを利用した二段階認証を突破してパスワード変更を行い、ネットバンクからの不正送金や不正決済などを行うSIMIスワップの手口や事例、対策方法を解説する。

SIMスワップとは

SIMスワップは、攻撃者が相手のSIMを乗っ取った後、そのSIMで受信できるSMSを使った二段階認証を突破し、オンラインバンキングなどに不正ログインを行う攻撃である。

別名「SIMスワップ（詐欺・攻撃）、SIMハイジャック（攻撃）」とも呼ばれる。

　
SIMスワップの典型的な海外の手口は、以下の流れで実行される。

1. 攻撃者は攻撃対象の個人情報（メールアドレスや住所、携帯電話会社）などを事前に調査し、身分証明書を偽造する。

2. 攻撃者は携帯電話会社に連絡し、「SIMを紛失した。困るので、手持ちの別のSIMで紛失したSIMの電話が受けられるように、電話番号を入れ替えて欲しい」と連絡を行う。このように、手持ちのSIMと、攻撃対象のSIMの電話番号を入れ替えるので、SIMスワップと名付けられた。

3. 携帯電話会社の担当者は、攻撃者に対して身分証明書などの詳細な個人情報提示を依頼する。それに対し攻撃者は、偽造の身分証明書を提示する。

4. 本人確認後、携帯電話会社はSIMの電話番号を入れ替える。これにより、攻撃者は攻撃対象のSMSを受信することが可能になる。

5. 攻撃者は、攻撃対象の金融などのアカウントに対してログインを行い、SMSによる二要素認証を突破することが可能となる。被害者（元の持ち主）からのアクセスを防ぐため、直ちにアカウントのパスワードを変更する。

二要素認証でセキュリティは高まるのか
https://eset-info.canon-its.jp/malware_info/special/detail/200521.html

このような手順でSIMスワップは行われる。

攻撃対象のアカウント情報などは、事前にフィッシングなどで入手している。

ただ、手持ちのSIMと、相手のSIMの電話番号を入れ替えることは、おそらく日本では行われていないので、日本においてはSIMスワップと言うより、SIMハイジャックと呼ぶ方が適切であるかもしれない。

SIMスワップの手法

先述のSIMの入れ替え方法は、日本では一般的ではないと思われる。
日本では、どのような手口でSIMが乗っ取られる可能性があるかを挙げる。

1. SIMのサイズ変更を依頼する

攻撃対象が標準SIMやMicro SIMを使っている場合、これをnano SIMに変更したいと偽り、契約者になりすまして携帯電話ショップに来店する方法が考えられる。ただ現状ではnano SIMがかなり普及しているので、サイズ変更を口実にした再発行は難しいかもしれない。

2. SIMを紛失したと偽る
　
携帯電話ショップに来店し、契約者になりすましてSIMを紛失したと偽り、SIMの再発行を要求する。

3. 携帯電話会社を切り替える
　
MNP（携帯番号ポータビリティ制度）を悪用し、被害者の携帯電話会社を解約、番号を引き継いで別の携帯電話会社と契約を行う。

この手法は、海外ではPort-Out詐欺とも呼ばれている。
Port-Out とは、番号ポータビリティにおける携帯電話会社転出のことだ。日本においても、この手法による被害が確認されている*1。

*1　神戸新聞 ｜ さっきまで使えてたスマホ、通話音が…しない　勝手に解約されたかも　被害男性の証言

海外におけるSIMスワップの被害状況

　
2022年2月に公表されたFBIの報告*2によると、2018年1月～2020年12月にかけて、SIMスワップの被害件数は320件、被害額1,200万ドル（17億円相当）であるのに対し、2021年は被害件数1,611件、被害額6,800万ドル（97億円相当）と大幅に増加している。

　
SIMスワップは、身分証明書の偽造や事前にフィッシングなどでアカウントなどの資格情報を窃取することが必要で、かなりの手間がかかるため、組織的な犯罪として行われているようだ。

2020年3月Europol（欧州刑事警察機構）は、数百万ドルを盗んだ2つのSIMスワップ犯罪グループを解散に追い込んだ。また2021年の初めに解体されたSIMスワップ犯罪ネットワークも、米国の有名人を含む数千人の被害者から1億ドル（143億円相当）の暗号資産（仮想通貨）を盗んだと考えられている*3。

*2　FBI: Public Service Announcement

*3　FBI warns of criminals escalating SIM swap attacks to steal millions

SIMスワップを防ぐには

　
SIMスワップを防ぐ方法として、Europol（欧州刑事警察機構）は以下の内容を推奨している*4。

・デバイスのソフトウェアを最新の状態に保つ。
不審なメールにあるリンクのクリックや、添付ファイルのダウンロードを行わない（マルウェアやフィッシングによる個人情報などの漏えいを防ぐため）
・不審なメールに返信したり、個人情報を要求する発信者と電話でやり取りしたりしない
・オンラインで、個人情報をむやみに公開しない
・二要素認証はSMSではなく、認証アプリやワンタイムパスワード用のトークンデバイスを使用する
・可能であれば、電話番号を機密性の高いアカウントに紐づけない
（銀行に登録する電話番号は本人確認に使われる可能性があるため、携帯電話ではなく固定電話にする）
・SIMにPINを設定する（SIMの盗難による悪用を防止）

　これに加えて、下記を行うことも大切だ。

・携帯電話会社のサービスにログイン時に、通知をメールで受け取るように設定を行う
　（勝手にMNPで解約されることに気づきやすくなる）
・SIMが無効になっていないかを確認する

　同じ番号のSIMは存在できず、再発行された場合は、今までのSIMが無効になり通信ができなくなる。このような状況になったら直ちに携帯電話会社に連絡し、一旦SIMを停止するように依頼すべきだ。

*4　Europol Dismantles SIM Swap Criminal Groups That Stole Millions

詐欺に引っかからないためには、まずどのような詐欺が行われているかを知ることが重要である。このような手口が存在することを理解し、できる対策を取るべきである。

詐欺メールとは？どのような手口でどういった被害が生じ得るのか？
https://eset-info.canon-its.jp/malware_info/special/detail/221110.html

ついにAIを使った詐欺事件が！娘そっくりの声を合成し身代金請求

カラパイアの元の記事はこちらからご覧ください

　
いまだにオレオレ詐欺（振り込め詐欺）がはびこっている中、AIを利用することで、より巧妙な犯罪事件が発生している。

　
米国アリゾナ州で、AIによる音声合成技術を悪用して、子供の誘拐未遂事件が起きた。危うく騙されかけたその母親によれば、誘拐されたと助けを求める電話の声は、紛れもなく娘のものだったという。

　
だが実際はAIが本人の声を合成し、本人そっくりに作り上げたクローン音声だったのだ。

　
今、アメリカではこのような音声合成AIを利用した詐欺事件が日常的に起きているという。そんな新手の詐欺から身を守るにはどうすればいいのか？

【画像】 娘の声をAIで作り上げ、身代金要求する電話

　
事件はとある見知らぬ電話番号から始まった。

　
アリゾナ州在住のジェニファー・デステファノさんは、普段なら見知らぬ番号は留守電で受けることにしていた。

　
ところが、その時は15歳の娘がスキーで留守にしていたので、もしや事故ではと心配になり、電話に出たのだという。

　
「電話に出ると、『ママ！』と泣きじゃくる娘の声が聞こえました」と、デステファノさんは事件のことを地元メディアのWKYTに語っている。

［もっと知りたい！→］フィンランドの囚人たちは刑務所内でAI（人工知能）に関する最先端技術が無料で学べる

　
困惑しながら「どうしたの？」とステファノさんが問いかけると、「ママ、どうしよう」と娘が泣きながら伝えてきた。

すると「頭を後ろに倒して、横になれ」という男の声が聞こえ、デステファノさんからさっと血の気が引いた。

　
電話の男はこう告げてきた。

　「いいか。お前の娘は預かった。警察を呼んだら、娘を薬漬けにしてメキシコ送りにしてやるからな」

　
震え出したステファノさんの耳元には、受話器越しに「助けて、ママ」という娘の泣き叫ぶ声が聞こえてくる。

　
男は、娘を返して欲しければ100万ドル（約1億3000万円）払えと身代金を要求。そんな大金とても払えないとデステファノさんが伝えると、5万ドル（670万円）に額を引き下げてきた。

　
幸いにも、このときデステファノさんはもう1人の娘の付き添いでダンススタジオにいた。
周囲にはママ友がいて、1人は警察に、1人はデステファノさんの夫に連絡してくれた。

Mom warns of AI voice cloning scam that faked kidnapping l GMA

・合わせて読みたい→宿泊客が反社会的な人格かどうかを予約前に診断するAIを開発、トラブルを未然に防ぐため

娘が家にいたことで、AIによる合成音声であることが判明

　
男の電話から4分後、娘の無事が確認された。娘ははすでに家に帰宅しており2階の部屋にいたという。

　
電話をすると「え？ママ？どうしたの」と、何が起きたのか全く分からない様子だったそうだ。「それでとにかく腹が立ってきました。本当に冗談では済まされません」と、デステファノさんは憤る。

　
娘の安否を確認したデステファノさんは電話を切り、この身代金要求は詐欺であることがわかった。

たった3秒の声があればAIが簡単にクローン音声を合成

 デステファノさんは、電話から聞こえてきたその声は紛れもなく娘のものだったと語る。

完全に娘の声でした。話し方のクセはあの子のもので、泣き声も本人のものでした。一瞬たりとも娘の声だと疑いませんでした。だから動揺したんです

AIの技術革新により本人の声のサンプルがあれば、本人そっくりのクローン音声を合成することが簡単にできるのだ。

　
アリゾナ州立大学のAIの専門家スバラオ・カンバンパティ教授は、「耳はもう信用できません」と音声合成AIの急速な進歩について説明する。

　
同教授によると、以前ならAIで声をコピーするには、本人の声のサンプルが大量に必要だったが、今ではたった3秒の声があれば十分なのだそうだ。

　
「その3秒間で、あなたの声そっくりの合成音声を作れます」とカンバンパティ教授。それはイントネーションや感情までもコピーされているという。

　
そうした技術が、ますます簡単に利用できるようになりつつあるのだ。もちろん、道具は使い方次第なので、有益な使い方もあるだろう。

　

その一方で、今回のように犯罪に悪用される危険性がある。

音声合成AIによる詐欺から身を守るために

　
FBI特別捜査官補のダン・メイヨー氏によると、音声合成AIを悪用する詐欺師は、SNSで獲物を物色することが多いそうだ。

　
だから、こうした詐欺師から身を守るには、自分のプロフィールを非公開にして、知らない人に個人情報を見られないようにすることが大切だという。

　
詐欺師は個人情報がたくさん載っているアカウントを探して、それを元にその人を徹底的に調べ上げる。だからターゲットにされないためにも、まずは個人情報を明かさないことを徹底しなければならない。

　
詐欺師は、口座への送金や、暗号通貨の送付、ギフトカードによる支払いなどで身代金を要求してくる。一度支払ってしまえば、取り戻すのはほぼ無理だそうなので、用心が必要だ。

　
また見慣れぬ市外局番や海外からかかってきた電話、家族に相談できないよう口止するケースなども、詐欺の可能性を疑っておくといいという。

　
そして何より慌てないことが大切だ。相手からギョッとすることを言われても、まずは冷静になること。そのうえで質問するのだ。

　
「映画を思い出してください。まずは落ち着いて。そして相手のペースに乗らずに、たくさん質問してください」と、メイヨー氏は言う。

　
「あなたは大切な人のことを、詐欺師なんかよりずっとたくさん知っているはずです。その人について、あなたしか知り得ないことを質問すれば、相手が詐欺師ならすぐにボロが出ます」

　
今回のようなAI音声合成を悪用した誘拐詐欺がどのくらい起きているのか不明だが、「日常的に起きている」可能性が高いという。

References:‘I’ve got your daughter’: Mom warns of terrifying AI voice cloning scam that faked kidnapping / written by hiroching / edited by / parumo

　
『画像・動画、SNSが見られない場合はこちら』