被害が日本に来たとネットニュースになっていました。
ダークウェブに95万件の日本人個人情報が漏れたと聞きました。
漏れた情報+偽造された私の身分証明書+SIM乗っ取られる。
とのことです。ネットで使える銀行を
持っている場合はお金が奪われてしまうそうです。
対処法が無いらしいです。
詳しい手口のと対策を教えてください。
SIMスワップ詐欺は、
攻撃者が被害者の電話番号を乗っ取り、
SMS認証を悪用して銀行口座やSNSアカウント
に不正アクセスするサイバー犯罪です。
日本でも被害が増加しており、
ダークウェブでの個人情報漏洩が
この手口を助長している可能性があります。
以下に、詳細な手口と対策を分かりやすく説明します。
SIMスワップ詐欺の手口
個人情報の収集
攻撃者は、フィッシング詐欺、
ダークウェブでのデータ購入、
SNSの公開情報などを通じて、
氏名、住所、生年月日、電話番号、銀行口座情報などを入手します。
例: 偽の銀行や通販サイトに誘導するメールや
SMSでログイン情報を入力させたり、
漏洩したデータベースから情報を取得。
1件あたり数円~数千円で個人情報が取引されることもあります
(例: メールアドレス1~15ドル、住所や電話番号を含むセットで約3000円)。
身分証明書の偽造
収集した情報をもとに、
運転免許証などの身分証明書を偽造。
これにより、携帯電話会社を騙して本人になりすます準備が整います。
SIMカードの再発行依頼
攻撃者は携帯電話会社に連絡し、
「スマホを紛失した」「SIMカードを再発行してほしい」と偽ります。
偽造した身分証明書を提示し、
被害者の電話番号を攻撃者が用意したSIMカードに移行させる。
日本では、MNP(番号ポータビリティ)
を悪用した事例も報告されています
(例: 2022年7月、998万円の不正送金被害)。
電話番号の乗っ取り
SIMカードが再発行されると、
被害者のスマホは圏外になり、
攻撃者が被害者の電話番号でSMSや通話を受信可能に。
被害者はこの時点でスマホが使えなくなるため、異変に気づくことが多い。
二要素認証の突破
多くの銀行やサービスは、
SMSで送られるワンタイムパスワードを
二要素認証(2FA)に使用。
攻撃者はこれを入手し、以下を実行します。
ネットバンキングにログインし、
日本の法律の手が届かない海外へ不正送金。
SNSやメールアカウントを乗っ取り、パスワードを変更。
暗号資産ウォレットや決済アプリ(例: PayPay)から資金を盗む。
例: 2021年、FBIは
SIMスワップによる被害額が約97億円に上ると報告。
さらなる悪用
乗っ取ったアカウントから新たな詐欺
(例: 知人に偽の送金依頼)や、個人情報を利用した追加の犯罪を行うことも。
日本での状況
個人情報漏洩
ダークウェブで95万件の日本人情報が
流通しているという情報は具体的なソースが不明ですが、
過去の大規模漏洩(例: LINEヤフー問題など)や
フィッシング被害により、大量の個人情報が闇市場で取引されている可能性は高いです。
ダークウェブでは、メールアドレスや
電話番号が安価で売買され、攻撃者がこれをSIMスワップに利用。
2022年上半期: 15件、約1.2億円の被害。
2022年下半期: 63件、約2.7億円に急増。
2023年上半期: 本人確認強化により4件、
約3400万円に減少(警察庁データ)。
2024年: 都議や市議が被害に遭い、
PayPayでの不正利用や高額購入が報告される。
SIMスワップ詐欺対策
SIMスワップ詐欺は
完全に防ぐのが難しいですが、
以下の対策でリスクを大幅に減らせます。
1. 個人情報の保護
SNSでの情報公開を控える:
氏名、住所、生年月日、電話番号などを公開しない。
特に、攻撃者は断片的な情報からでも本人を特定可能。
フィッシングに注意:
不審なメールやSMSのリンクをクリックしない。
銀行やキャリアを装った偽サイトに誘導されるケースが多い。
例:
「口座が停止された」「至急ログイン」と煽るメッセージは無視。
対策:
公式サイトをブックマークし、直接アクセス。
パスワード管理:
強力でユニークなパスワードを設定し、
パスワードマネージャーを利用。
同一パスワードの使い回しは危険。
2. 二要素認証(2FA)の強化
SMS認証を避ける:
SMSはSIMスワップで突破されるため、以下を優先:
認証アプリ:
Google Authenticator、Microsoft Authenticator、Authyなど。
ハードウェアトークン:
YubiKeyなどの物理デバイス。
生体認証:
ネットバンキングで指紋や
顔認証を有効化(例: 住信SBIネット銀行の「スマート認証NEO」)。
電話番号の紐づけを最小限に:
銀行や重要サービスに登録する電話番号は、
普段使わない固定電話や専用番号を検討。
3. 携帯キャリアでのセキュリティ強化
アカウント保護:
キャリアのアカウントに強力な
パスワードと独自のPINコードを設定。
セキュリティ質問も推測されにくいものに。
不正変更防止:
キャリアに連絡し、SIM再発行や
MNPに追加認証(例: 店舗での対面確認)を要求する設定を依頼。
定期確認:
キャリアのオンラインアカウントを
定期的にチェックし、不審な変更がないか確認。
4. デバイスのセキュリティ
ソフトウェア更新:
スマホのOSやアプリを常に最新に保つ。
マルウェアによる情報漏洩を防ぐ。
セキュリティソフト:
フィッシングサイトを検知するアプリや
アンチウイルスソフトを導入(例: 常時安全セキュリティ24)。
バックアップデバイス:
メインスマホが圏外になった場合に備え、
別の連絡手段(固定電話や予備スマホ)を用意。
5. 被害の早期発見
スマホの異常をチェック:
突然圏外になる、通話やSMSができない場合は、即座にキャリアに連絡。
アカウント監視:
銀行やSNSで不審なログイン通知や取引がないか確認。
漏洩チェック:
Have I Been Pwned(https://haveibeenpwned.com/)
などでメールアドレスや電話番号の漏洩を調べる。
6. 被害発生時の対応
キャリアに連絡:
SIMスワップが疑われる場合、
即座に携帯電話会社に連絡し、SIMを無効化。
銀行・サービスに報告:
不正アクセスを防ぐため、銀行や
SNSのアカウントを凍結またはパスワード変更。
警察に相談:
サイバー犯罪相談窓口(#9110)や地元警察に被害届を提出。
フィッシングサイトのURLやスクリーンショットを証拠として準備。
専門家に相談:
フォレンジック調査会社
(例: デジタルデータフォレンジック)に依頼し、被害範囲を調査。
補足:
「対処法がない」という誤解
「対処法がない」という情報は誇張です。
上記の対策を組み合わせることで、被害リスクを大幅に低減できます。
特に、SMS以外の認証方法への切り替えと個人情報の厳格な管理が効果的です。
また、2022年以降、総務省と警察庁がキャリアに
本人確認強化を要請しており、被害件数は減少傾向にあります。
まとめ
SIMスワップ詐欺は、
個人情報の漏洩と携帯電話の脆弱性を悪用した犯罪です。
手口は巧妙ですが、以下の4点で対策を固めれば被害を防ぐ可能性が高まります。
!個人情報を守る(フィッシング対策、SNS公開制限)。
!SMS認証を避け、認証アプリや生体認証を活用。
!キャリアや銀行のアカウントを強化し、異常を早期発見。
!ネットでアクセスできない口座をメインで使う。
俺はゆうちょ銀行の
預金が盗まれないように
パスワードをわざと間違えてロックさせた
これで安心、ザマァ!
糞外人集団ども
日本を狙うんじゃねぇ!
ネット送金は便利だけと
危険と隣合わせ。
私はネットで使えるのは1つだけにしてる。
普段からの危機管理が大切。
コメント