近年、電話番号や契約者情報が保存された「SIM」を不正に乗っ取り、SMS認証を突破して各種サービスへ不正ログインする「SIMスワップ」が海外を中心に増加しています。

日本国内でも、SIMスワップによってインターネットバンキングやオンラインサービスのアカウントが不正利用され、多額の金銭被害が発生した事例が報告されています。

また、企業・組織においても、業務用スマートフォンやSMS認証を利用したシステムアカウントが狙われ、情報漏洩や不正アクセス、業務停止などの重大なセキュリティインシデントにつながる恐れがあるため、適切な対策が求められます。

特に、クラウドサービスの利用拡大やリモートワークの定着により、ID・パスワードとSMS認証を組み合わせた認証方式を採用している企業は少なくありません。

そのため、SIMスワップのリスクを正しく理解し、認証基盤の見直しを含めた対策を講じることが重要です。

本記事では、SIMスワップの仕組みや手口、被害の兆候、企業が実施すべき対策についてわかりやすく解説します。

「SIMスワップとは何か」「自社の認証基盤にどのようなリスクがあるのか」を知りたい方は、ぜひ最後までご覧ください。

SIMスワップとは

SIMスワップとは、不正に取得した個人情報などを利用して携帯電話会社を欺き、SIMカードの再発行や契約情報の変更を行うことで、他人の電話番号を不正に利用可能な状態にする手口です。

SIMスワップによって電話番号の利用権を奪われると、SMS認証に使用される認証コードが攻撃者のデバイスに届くようになります。

その結果、インターネットバンキングやオンラインサービスへの不正ログイン、不正送金、アカウントの乗っ取りなどの被害につながる恐れがあります。

また、企業においても、業務システムやクラウドサービスでSMS認証を利用している場合、重要なアカウントへの不正アクセスや情報漏洩につながるリスクがあります。

スマートフォンが広く普及した現在、SMS認証は多くのオンラインサービスで標準的に採用されています。

その認証基盤を狙うSIMスワップは極めて危険な攻撃手法であり、被害に気付いた時にはすでに金銭的損失や情報漏洩が発生しているケースも少なくありません。

SIMとは

SIMスワップの「SIM」とは、「Subscriber Identity Module」の略称で、日本語では「加入者識別モジュール」と訳されます。

SIMはスマートフォンやIoT機器に組み込まれるカードまたはチップ型の部品であり、契約者を識別するための情報や認証情報などが記録されています。

そのため、デバイスを変更した場合でも、SIMを差し替えることで同じ電話番号や契約情報を引き継いだまま利用することが可能です。

また、デバイスを紛失した場合でも、携帯電話会社でSIMを再発行してもらうことで、別のデバイスで同じ電話番号を利用できます。

SIMスワップは、このSIM再発行の仕組みを悪用し、本来の契約者になりすまして電話番号の利用権を奪う攻撃手法です。

SIMスワップの手口と流れ

SIMスワップは、主に以下の流れで行われます。

攻撃者はまず、フィッシングメールや偽サイト、過去の情報漏洩などを利用して、氏名や住所、生年月日、認証情報といった本人確認に利用される情報を収集します。

その後、盗み出した情報を利用してターゲットになりすまし、「スマートフォンを紛失したためSIMを再発行したい」などと携帯電話会社へ申請します。

本人確認を突破されるとSIMが再発行され、攻撃者が所持するSIMにターゲットの電話番号が紐付けられます。

これにより、本来ターゲットが受信するはずのSMS認証コードや着信が攻撃者側に転送される状態となります。

その結果、攻撃者はSMS認証を利用している銀行口座やクラウドサービス、SNS、業務システムなどへ不正にアクセスし、金銭の窃取や情報漏洩を引き起こす恐れがあります。

また、海外では携帯電話会社の従業員や委託先担当者が攻撃に関与し、不正なSIM再発行が行われた事例も報告されています。そのため、企業側だけでなく通信事業者側にも厳格な本人確認体制が求められています。

SIMスワップの兆候

以下の兆候がみられる場合は、SIMスワップが行われた恐れがあります。

攻撃者のSIMに電話番号が移ると、本来利用していたSIMは無効化され、通信や通話が利用できなくなります。

そのため、通信環境に問題がないにもかかわらず突然圏外になった場合は注意が必要です。通話やSMSが利用できない状態が継続する場合は、速やかに携帯電話会社へ状況を確認しましょう。

また、自身で手続きを行っていないにもかかわらず、携帯電話会社からSIMカードの変更や再発行に関する通知が届いた場合は、第三者による不正な申請が行われている可能性があります。

心当たりがない場合は、速やかに携帯電話会社へ連絡し、事実関係を確認することが重要です。

さらに、銀行口座やSNS、メールアカウントに加え、業務で利用しているクラウドサービスや業務システムへ突然ログインできなくなった場合は、SIMスワップによる不正アクセスが発生している恐れがあります。

他にも、身に覚えのない金融取引やアカウント設定の変更が確認された場合は、すでに被害が進行している可能性があります。

特に企業・組織においては、認証ログやアクセスログを定期的に確認し、不審なログインや異常なアクセスを早期に検知できる体制を整えておくことが重要です。

被害の兆候を早期に把握することで、情報漏洩や業務停止といった重大な被害の拡大を防止できます。

SIMスワップが企業にもたらすリスク

SIMスワップが行われた場合、以下のような被害が発生する恐れがあります。

近年では、インターネットバンキングやオンライン決済サービスに加え、クラウドサービスや業務システムなど、さまざまなサービスでSMS認証が利用されています。

SMS認証は電話番号宛てに認証コードを送信する仕組みであるため、攻撃者のSIMに電話番号が移ってしまうと、攻撃者が認証コードを受け取れる状態になります。

その結果、インターネットバンキングから不正に資金を引き出されたり、身に覚えのないオンライン決済が行われたりする恐れがあります。

また、企業・組織においては、メールやSNSアカウントだけでなく、業務で利用しているクラウドサービスやグループウェア、VPNなどへの不正アクセスにつながる恐れもあります。

さらに、アカウントが乗っ取られると、機密情報や顧客情報が閲覧・窃取され、情報漏洩につながる恐れがあります。

また、乗っ取られたアカウントは、フィッシングメールの送信やマルウェアの拡散、不正アクセスの踏み台など、別のサイバー攻撃に悪用されるリスクもあります。

このように、SIMスワップは単一の被害にとどまらず、情報漏洩や不正アクセス、さらには認証基盤全体の信頼性低下につながる恐れがある攻撃手法です。

一度被害が発生すると二次被害へ発展しやすいため、企業・組織には適切な対策が求められます。

SIMスワップの被害事例

国内でも、SIMスワップによる被害事例が報告されています。

2022年には、SIMスワップによって他人名義の口座から約1,000万円が不正に送金される事件が発生しました。

被害に遭った男性は、突然スマートフォンが利用できなくなったため携帯電話ショップを訪れたところ、自身の契約がすでに解除されていることを知りました。

捜査の結果、犯人は被害者名義の偽造運転免許証を使用して本人になりすましていました。

電話番号を維持したまま携帯電話会社を変更できる制度を悪用して、新たなSIMカードを取得していたことが判明しています。

その後、犯人は取得したSIMカードを利用してSMS認証を突破し、被害者のインターネットバンキングへ不正にアクセスしました。そして、口座から約1,000万円を不正に送金したと報じられています。

近年では、通信事業者や金融機関などがSIMスワップに関する注意喚起を継続的に実施しており、本人確認書類を悪用したSIM再発行や電話番号の不正な移転への警戒が強まっています。

さらに、携帯電話事業者に対して本人確認の強化が求められるなど、対策の厳格化も進められています。

この事例からも分かるように、SIMスワップは単に電話番号を乗っ取るだけでなく、SMS認証を利用するサービスへの不正アクセスにつながる危険な攻撃手法です。

企業・組織においては、SMS認証のみに依存した認証方式にはリスクがあることを認識しておくことが重要です。

SIMスワップ被害にあった場合の対処法

SIMスワップの兆候がみられた場合は、被害の拡大を防ぐために速やかな対応が必要です。

まずは携帯電話会社へ連絡し、回線停止やSIMカードの無効化を依頼しましょう。通信が利用できない場合は、別のデバイスや固定電話などを利用して早急に連絡することが重要です。

次に、メールアカウントやインターネットバンキング、クラウドサービスなどの重要なアカウントのパスワードを変更します。

特にメールアカウントは、他サービスのパスワードリセットに利用されるケースが多いため、優先的に保護する必要があります。

また、銀行や証券会社などの金融機関へ連絡し、不正送金や不正取引が発生していないか確認するとともに、必要に応じて口座保護の措置を依頼することも重要です。

企業・組織においては、情報システム部門やセキュリティ担当者へ速やかに報告しましょう。

そのうえで、アクセスログや認証ログを確認し、業務システムやクラウドサービスへの不正アクセスが発生していないか調査する必要があります。必要に応じてアカウントの停止や認証情報の変更などの対応を実施してください。

また、警察やサイバー犯罪相談窓口へ相談し、被害状況を報告する必要もあります。

発生日時や受信した通知、アクセス履歴などを整理しておくと、その後の調査や対応がスムーズになります。

SIMスワップは初動対応の遅れによって被害が拡大しやすい攻撃です。

異変を感じた場合は速やかに関係各所へ連絡し、被害の最小化を図ることが重要です。

企業が実施すべきSIMスワップ対策

スマートフォンを業務で利用する機会が増えた昨今、業務用スマートフォンやSMS認証を利用する業務アカウントがSIMスワップの標的となるリスクも高まっています。

そこで本記事では、企業が実施すべきSIMスワップ対策を4つ紹介します。

詳しく確認していきましょう。

SMS認証のみに依存しない

SMS認証は導入しやすく利便性も高い一方で、電話番号が乗っ取られると攻撃者の手元に認証コードが届いてしまうという弱点があります。

そのため、重要なシステムやサービスでは、SMS認証のみに依存せず、認証アプリやFIDO2対応のセキュリティキー、パスキーなど、より安全性の高い認証方式の導入が推奨されます。

認証アプリは一定時間ごとに変化する認証コードをデバイス内で生成する仕組みであり、電話番号を利用しません。また、パスキーやFIDO2認証は公開鍵暗号方式を利用するため、フィッシングやSIMスワップの影響を受けにくいという特徴があります。

このような認証方式は、たとえSIMスワップによって電話番号が不正に利用された場合でも、認証コードや認証情報を窃取されるリスクを大幅に低減できます。

そのため、企業・組織ではSMS認証を補完または代替する認証方式の導入を検討することが重要です。

アカウントと電話番号の紐付けを見直す

機密性の高いシステムや重要なアカウントについては、電話番号への依存度をできる限り下げることが重要です。

電話番号がアカウントの復旧手段や認証手段として利用されている場合、SIMスワップによってSMS認証やパスワードリセット機能が悪用される恐れがあり、アカウントの乗っ取りや不正アクセスにつながる可能性があるためです。

そのため、重要なシステムではSMS認証だけに依存せず、認証アプリやパスキーなど、電話番号を利用しない認証方式を併用することが推奨されます。

また、アカウントの復旧手段についても見直しが求められます。

電話番号だけで本人確認を行うのではなく、複数の認証要素を組み合わせることで、不正利用のリスクを低減できます。

企業・組織においては、認証方式やアカウント管理のポリシーを定期的に見直し、電話番号への依存を最小限に抑えた認証基盤を構築することが重要です。

メールセキュリティを強化する

メールセキュリティ対策を強化することで、フィッシングメールによる認証情報や個人情報の窃取リスクを低減できます。

多くのSIMスワップ攻撃では、まずフィッシング詐欺などを通じて氏名や住所、生年月日、認証情報などが収集され、その情報を利用してSIMの再発行手続きが行われます。

そのため、メールセキュリティ製品の導入や迷惑メールフィルタリングの強化、なりすましメール対策の実施などにより、不審なメールを早期に検知・遮断することが重要です。

企業・組織においては、フィッシングメールを起点とした認証情報の窃取が、SIMスワップだけでなくさまざまなサイバー攻撃につながる恐れがあります。

メールセキュリティ対策を強化することで、SIMスワップを含む複数の脅威に対する防御力を高めることができます。

従業員へのセキュリティ教育を実施する

SIMスワップは、フィッシング詐欺や情報漏洩などによって個人情報や認証情報が窃取されることから始まるケースが少なくありません。

そのため、メールやSMS、SNSなどで送られてきたリンクを安易に開かず、不審なサイトへ情報を入力しないことを徹底する必要があります。

近年のフィッシングサイトは、実在する企業のWebサイトを精巧に模倣しており、見た目だけで真偽を判断することは困難です。

そのため、サービスへアクセスする際はメール内のリンクを利用せず、公式サイトをブックマークしておく、あるいはURLを直接入力するなどの対策が有効です。

企業・組織においては、従業員へのセキュリティ教育や標的型攻撃メール訓練などを実施し、フィッシングメールを見抜くための知識を継続的に身につけてもらうことも重要です。

フィッシングによる情報窃取を防ぐことは、SIMスワップだけでなく、多くのサイバー攻撃の予防にもつながります。

安全性の高い認証方式とは

SMS認証は利便性が高い一方で、SIMスワップによって電話番号が乗っ取られると、認証コードを第三者に受信される恐れがあります。

そのため、企業・組織ではSMS認証のみに依存せず、より安全性の高い認証方式の導入が求められています。

これらの認証方式は、電話番号やSMSに依存しないため、SIMスワップによる認証突破リスクを大幅に低減できます。

近年のサイバー攻撃は年々高度化しており、パスワードやSMS認証だけでは十分な対策が難しくなっています。

そのため、企業・組織では複数の認証方式を適切に組み合わせながら、より安全な認証基盤を構築することが重要です。

複雑なID・認証の運用をシンプルにするIDaaS「LANSCOPE IDアクセスマネージャー」

前述の通り、SIMスワップによって電話番号が乗っ取られると、SMS認証を突破される恐れがあります。

そのため、企業・組織ではSMS認証のみに依存するのではなく、多要素認証（MFA）やパスキー（FIDO2）によるパスワードレス認証など、より安全性の高い認証方式の導入が求められています。

一方で、多要素認証やパスキーなど複数の認証方式を導入すると、アカウント管理や認証ポリシーの運用が複雑化しやすくなります。

そこで活用したいのが、IDや認証を一元的に管理できるIDaaSです。

IDaaSを利用することで、シングルサインオン（SSO）や多要素認証、パスキーによるパスワードレス認証などを効率的に運用できるほか、ユーザーやサービスごとに適切な認証方式やアクセスルールを設定できるようになります。

本記事では、業務で利用するクラウドサービスに対し、アカウント管理や多要素認証などの機能を効率的に実装できるIDaaS「LANSCOPE IDアクセスマネージャー」を紹介します。

本サービスは、シングルサインオン（SSO）や多要素認証に加え、パスキー（FIDO2）によるパスワードレス認証にも対応しています。

そのため、SMS認証やパスワードへの依存を減らしながら、利便性とセキュリティを両立した認証環境を構築できます。

また、ユーザーやサービスごとの認証ポリシー設定にも対応しているため、重要なシステムにはより強固な認証方式を適用するといった柔軟な運用も可能です。

さらに、IPアドレス制限やデバイス証明書を利用したアクセス制御機能により、許可された環境からのみクラウドサービスへアクセスできるよう制御できます。

そのため、万が一認証情報が漏洩した場合でも、不正アクセスのリスク低減につながります。

煩雑化しやすいID管理を、安全かつ効率的に実施したい方は、ぜひ「LANSCOPE IDアクセスマネージャー」の導入をご検討ください。

より詳しい機能や特徴、料金体系について知りたい方は、下記資料をご確認ください。

3分でわかる！
LANSCOPE ID アクセスマネージャー

複雑なID・認証の運用をシンプルにする「LANSCOPE ID アクセスマネージャー」について、特長や活用方法を解説します。

資料をダウンロードする

まとめ

本記事では、「SIMスワップ」をテーマに、その仕組みや手口、兆候、具体的な対策について解説しました。

日本国内でも、SIMスワップによって多額の金銭が不正に引き出される事例が報告されています。

近年では、スマートフォンやクラウドサービスを業務で利用する機会が増えていることから、企業・組織においても無関係ではない脅威となっています。

万が一業務用スマートフォンや業務アカウントが狙われた場合、情報漏洩や不正アクセス、業務停止といった重大な被害につながる恐れがあります。

そのため、重要なシステムやアカウントについては、SMS認証だけに依存するのではなく、多要素認証やパスキーなどの認証方式を導入し、認証基盤全体のセキュリティを強化することが重要です。

また、これらの認証方式を安全かつ効率的に運用するためには、認証ポリシーやアクセス管理を一元化できるIDaaSの活用も有効です。

SIMスワップをはじめとする認証情報を狙った攻撃への対策として、自社の認証基盤を見直してみてはいかがでしょうか。

3分でわかる！
LANSCOPE ID アクセスマネージャー

複雑なID・認証の運用をシンプルにする「LANSCOPE ID アクセスマネージャー」について、特長や活用方法を解説します。

資料をダウンロードする