SIMスワップとは

SIMカードを不正に再発行させ、被害者の電話番号を攻撃者の端末に移管する詐欺・攻撃手法。SMS認証の最大の脅威として世界的に問題視されている。

SIMスワップの仕組み

攻撃者はまず、SNSや漏洩データベースから被害者の個人情報(氏名・生年月日・住所等)を収集します。 次に、その情報を使ってキャリアショップや電話サポートに「SIMカードを紛失した」などと嘘をつき、 被害者の電話番号を新しいSIMカードに移管させます。 移管が完了すると、被害者のスマートフォンはつながらなくなり、代わりに攻撃者の端末にSMSや通話が届くようになります。 この状態でSMS認証を悪用してバンキングやSNSアカウントを乗っ取ります。

被害の深刻さ

米国FBIの報告では、2021年だけでSIMスワップによる被害総額は約6,800万ドルに上ります。 日本でも仮想通貨取引所アカウントの乗っ取り事例が報告されており、 SMS認証に依存したセキュリティの限界が指摘されています。 特に資産価値の高いアカウント(金融・仮想通貨・著名人SNS)が標的になりやすいです。

対策方法

  • SMS認証に依存しない: FIDOパスキーTOTPなど、SIM非依存の認証方式を採用する
  • キャリアのSIM保護設定を有効にする: 一部のキャリアはPINによるSIM変更保護を提供している
  • 着信認証の活用: SMS認証の代替として、着信認証はSIMスワップの影響を受けにくい構造を持つ
  • 個人情報の管理徹底: SNSでの個人情報公開を最小限に抑える

サービス提供者側の対策

SMS認証を提供するサービス側の観点では、SMS認証を廃止してパスキーTOTPに移行することが最善策です。 SMS認証を継続する場合は、アカウント変更時に追加の本人確認ステップを設けることが有効です。

関連用語

  • SMS認証 — SIMスワップの主な標的となる認証方式
  • 着信認証 — SMS依存度を下げる代替手段
  • 二段階認証 — SIMスワップ耐性のある二段階認証方式の選択が重要

SMS認証のリスクを減らしたい開発者へ

pauth.meの着信認証はSIMスワップに強い電話認証APIです。SMS不要で固定電話にも対応。

SMS認証と比較する 無料で試す