SMS認証は危険！SIMスワップによる携帯番号乗っ取りによる銀行預金の搾取被害にあわないために

最近、FBIでも警告しているのがSIMスワップという手口による携帯番号乗っ取りの被害です。携帯番号を乗っ取ってしまうことでその携帯番号でさまざまの情報を抜き取ったり、銀行口座からごっそり金を抜き取られる事件が増えているようです。そうした被害にあうリスクを減らす工夫について考えてみましょう。

SIMスワップとは？

速い話が携帯電話番号乗っ取りです。

携帯電話番号なんか乗っとることができるわけないじゃん！とお思いの方、確かに普通に考えればそうなのですが、実際には不可能ではないのです。

不可能ではないからこそ世界中で被害が増えており、日本でも被害が報告されています。

最初のCANON ESETのサイトの例は海外ですが、TBSのほうは国内でのTBS取材によるものです。

携帯番号を乗っ取られて起こりうること

いろいろなことが起こる可能性があります。

普段扱わないような多額の振込があると、銀行では一時的に停止し人間による確認が行われる場合があるそうですが、この場合銀行員が口座所有者に電話で確認することが多いと聞きます。しかしその電話番号が乗っ取った番号だと正規の口座所有者への確認になりません。

また多くのログインの2要素認証ではSMS認証でワンタイムパスワードが送られるシステムが使われていますが、これは電話番号を乗っとることでSMSで送られているワンタイムパスワードも横取りすることができるわけで、犯罪者にとっては楽勝な仕組みです。

100％確実な本人確認は存在しない

上記TBSの例でもありますが、SIMスワップ犯罪者は住所・氏名があれば違う写真を貼り付けて免許証を偽造します。

そして携帯電話ショップの店頭でその名前の人になりすまして種々の手続きをすることも可能になります。

ショップでの免許証による本人確認は事実上顔写真だけなので、その顔写真がSIMスワップ犯罪者の顔に差し替えられていれば、ショップ店員が見破るのは事実上不可能です。

セキュリティが高いのは指紋（フィンガープリント）や虹彩（アイリス）といった整体情報による認証ですが、これも穴があります。

生体情報を登録する場合に、それが間違いなく本人であることが証明されないと、偽の生体情報が登録されてしまうことになります。その際に本人確認で免許証を使うと、それが偽造である可能性もあります。卵が先か鶏が先か…..という話になります。

まだシステムとして実用導入されていませんが、出生児にDNA情報を取得し、戸籍登録（出生届）のときにそのDNA情報を登録し、本人照合はそのDNA情報を使うというSFのような話が実現できれば、なりすましは相当防げます（それでもゼロにはならないと思いますが）。

回避策はただ一つ、山奥で誰とも接触せず完全自給自足の原始生活を送ること。

冗談のようですがそれしかないです、マジで。

SIMスワップによる振込被害からの予防策

DNA情報などはまだまだの話ですから現実的な被害防止策を考えましょう。

[1] 普通預金に多額の預金を置かない。やむなく多額の現金を置いている口座にはオンラインバンキングは契約しない。

[2] 携帯電話の契約時暗証番号にはランダムに生成した4桁番号を使うこと。
（ランダム文字ジェネレーター https://apps.hayu.io/random）
自分や家族・ペットの誕生日、自宅固定電話番号4桁などは避ける。
複数の回線があれば全部異なる番号を使う。

[3] 銀行に届け出る電話番号は携帯電話ではなく固定電話にする。

[4] オンライン振込などの確認時にSMS認証を使う銀行のオンラインバンキングは解約し、ATMや窓口でしか使えないようにするか口座解約する。

[5] オンラインバンキングを契約する銀行は、SMS認証ではなく専用アプリによる認証を使う銀行に限定する。

[6] いかなるときも外出時は絶対にスマホを手元から離さない。レストランやカフェでテーブルにおいたまま離席するなどは論外、これは被害にあっても文句を言えない。

[7] iPhoneであればApple Watchを使って、iPhoneが手元から離れた時に通知するように設定しておけば置き忘れなどを防ぐ手助けになる。

前述のとおり、自分の住所・名前などを隠すことは不可能です。これらはもう犯罪者がリストを持っていると思って行動することです。

まとめ

オンラインバンキングを悪用した犯罪をゼロにするのは不可能だが、自分が被害者になるリスクは、いくつかのことを実践するだけでかなり防止できる。

予防先を全く講じることなく被害にあっても、それは予防策を講じない人が悪い！