『SIMスワップ詐欺』!スマホ乗っ取り
【調査報道】FBI捜査官が警告!世界的サイバー犯罪がついに日本で…“闇バイト”追跡で判明した最新「SIMスワップ詐欺」の手口
TBS NEWS DIG Powered by JNN
知らないうちにスマホが乗っ取られ、銀行口座からお金が消える。そんな詐欺被害が広がり始めています。インターネットの認証セキュリティをもくぐり抜ける新手の詐欺「SIMスワップ詐欺」の手口に迫ります。 【写真を見る】【調査報道】FBI捜査官が警告!世界的サイバー犯罪がついに日本で…“闇バイト”追跡で判明した最新「SIMスワップ詐欺」の手口
■持ち主になりすまして携帯電話を乗っ取る… 闇バイトで募集
画面に並ぶ、怪しい“求人”の言葉。これは「闇バイト」を募集する、SNSのグループチャットだ。 2022年11月、気になる書き込みがあった。 「SIM再発行案件」 「全国どこでもできて報酬1回8万円」 「SIM再発行案件」とは一体なんなのか。私たちは、記者とは告げず、このグループと接触した。 記者 「もしもし」 闇バイト「SIM再発行案件」を募集するグループ 「どうも初めまして」 記者 「SIMの案件についてお伺いしてもいいですか?」 グループ 「ある人物に成り代わってSIMの再発行をするんですけど」 「SIM」とは携帯の契約者情報が記録されたカードのこと。携帯電話に差し込むと電話回線の利用が可能になる。 この闇バイトは、“本来の持ち主になりすましてSIMを再発行する”というものだった。 グループ 「個人情報のデータがあるので、ある程度お金持ってる人ですね。貯金してる方ですね」 記者 「最初からお金を持ってる人たちをリストにまとめているんですか?」 グループ 「うん、ターゲット。リストがいっぱいあるので」 グループは、ターゲットの個人情報に、闇バイトの顔写真を合わせ免許証を偽造。その後、携帯ショップで“SIMカードを紛失した”などと偽り、再発行を依頼する。再発行されれば、元々使われていたSIMは失効し、持ち主の携帯は使えなくなる。 一方、新たにSIMを手にしたグループは、ターゲット名義の電話番号やショートメールなどが自由に使えるようになる。 記者 「携帯乗っ取られるみたいな感じ?」 グループ 「そうっすね。乗っ取られるって感じっすね。一瞬。その間に、お金はネットで送金しちゃうんで」 グループの狙いは、やはりカネだった。 携帯電話を乗っ取った上で、ネットバンキングの口座からカネを抜き取るのだ。 調べてみると、こうした手口は、「SIMスワップ詐欺」と呼ばれ、数年前から世界的に広がっていた。
Yahooコメント
>2要素認証とは、ネットバンキングやオンラインショップなどでIDやパスワードに加えて、別の本人確認を求めるセキュリティだ。携帯電話に送られる認証コードなどがこれにあたる。 本来、ワンタイムパスワード発生器を口座開設時に 転送不可、本人受け取り限定で郵送してればいいんでしょ。 ところが、これをやるにはカネがかかるから、ケータイに認証コードを送信してそれを入力させることにして、ケータイにワンタイムパスワード発生器の代わりをさせよう、ってことだろ。 それが犯罪の原因になってる。 ならば、原則に戻って、ワンタイムパスワード発生器を使えば済むことだ。
「もちろんです。SIMカード、携帯電話、オンライン・アカウント、この3つを持っている人なら誰でもターゲットになります」 この3つを持っていても、銀行口座のログインパスワードが分からなければ口座に入れないはず。先ずここをしっかり管理しておく必要がある。パスワード入力を数回間違えたら、口座に一定期間アクセスできないようにすれば良いと思う。 次に振り込むには銀行側がトークンを使わせるか、紙ベースの第二暗証番号表でランダムに数字を指定して入力させるようにすれば、詐欺は防げるのではと思う。 多少手間やコストが掛かってもこのような詐欺が起こりえる以上仕方がない。
携帯ショップが免許証の偽造を見破る事が出来ないのが問題。 免許証にはICチップが入っており、券面に印字されている住所氏名などがデータで収められている。カラーコピーで外見(印字)は複製できてもチップの偽造やデータの複製は不可能だ。 まず免許証を光にかざすだけで物理的にICチップが内蔵されているか確認できる。これだけでほとんどのコピー品は見破れる。 さらにICチップに書き込まれているデータは免許証発行時に登録した暗証番号を入力する事で、スマホ等(NFC読み取り機)で簡単に読み出せる。暗証番号は本人しか分からないわけで、ショップの窓口で暗証番号が分からずICチップのデータを提示出来ないケースや、そもそもチップが外見だけで正常に機能していない場合は偽造免許証と判断できる。 偽造防止のために導入された技術なのに、ほとんど認知されず活用されていないのが驚きだ。
口座番号が分からなくても、生年月日・住所氏名・身分証があれば教えてくれるし、ネットバンクのパスワードだけなら電話番号で再発行出来るケースが大半。 大元の個人情報はオンラインショッピングや配送業者から抜き放題。 個人でできる対処法なんて、そもそもオンラインバンクを開設しない、オンラインショッピングも一切使わない事しか無く、今更どうしようも無い。 SIM再発行には、対面で店でのIDのチップの確認必須にする位しか対処法が思いつかない。
二要素認証って言っている時点で古いセキュリティ技術のままの古いシステムを使っている感じがするよね。 今は、多要素認証(Multi-Factor Authentication)でしょ。 この件、多要素認証のワンタイムパスワード入手手段にSMS認証を選択していたということですよね。 ワンタイムパスワード入手手段をAuthenticatorアプリにすれば、 Authenticatorアプリは端末に紐づいているので、 SIM解約詐欺にあっても、端末が本人の手元にある限り、 ワンタイムパスワードを入手できないとなるのでは? twitterもfacebookもinstagramもAuthenticatorアプリによる多要素認証が推奨設定になっていますけれども、 銀行口座アクセスにAuthenticatorアプリを使わない認証設定にしている理由は何だろう?
金融機関への登録してるスマホはeSIMにしてソレ以外では利用しないようにして、普段使うスマホは時々キャリアをMNPで変えたりMVNOにしたりで店舗でSIMの再発行にショップに犯人が訪れても、「ウチの回線では無いですね」って断れるようにするくらいしか個人では防ぐ手段が…
金融資産へのアクセスは基本スマホからしてはいけません。 PCを利用する習慣をつけるべきです。どうしてスマホを利用したなら2台用意しSNSや通販アプリ用と金融資産アクセス用と使い分けましょう。
携帯以前に、銀行のIDやパス持っとるってことは、被害に遭う奴はその前段階でフィッシングとかに引っかかとるんちゃうの。 てか、SIM再発行時にはその番号に緊急通報いくようにすればいんちゃうの。 かけて確認とかだと詐欺犯がその時間に本人に電話して邪魔するやろうから、災害の通知みたいに再発行通知が強制的に鳴るようにするとか。
楽に稼げる方法を 「他人に教える事」は絶対にありません。 あと「リスク」もなかったら 「1人、家族」でやってるでしょうから 「何処ぞの馬の骨」を参加させる時点で 「バレるとマズイ」事は大なり小なりあるんですよね。 美味い話は訳があるので 参加すればほとんどがロクな事にならない。 真面目に頑張ってきた人にしか チャンスは来ません。
免許証などの本人確認証が偽造されてしまうと、手の打ちようがない。 SIMに関連付けられた情報として、顔写真や、指紋などの生体情報を登録するしかないのか?