SIM スワッピングとは - 電話番号を乗っ取る攻撃の全貌
SIM スワッピング (SIM スワップ詐欺) は、攻撃者が携帯キャリアを騙して被害者の電話番号を攻撃者の SIM カードに移し替える攻撃手法です。電話番号の制御権を奪うことで、SMS 認証を突破し、銀行口座、暗号資産ウォレット、メールアカウントなど、電話番号に紐づくあらゆるサービスへの不正アクセスが可能になります。
FBI の Internet Crime Complaint Center (IC3) の報告によれば、SIM スワッピングによる被害額は年間数千万ドル規模に達しています。この記事では、攻撃の技術的な仕組みから具体的な防御策まで、体系的に解説します。
攻撃の仕組み - 4 つのフェーズ
SIM スワッピング攻撃は、情報収集から実行まで段階的に進行します。各フェーズを理解することが、防御の第一歩です。
フェーズ 1: 標的の情報収集
攻撃者はまず、標的の個人情報を収集します。ソーシャルエンジニアリング、フィッシング、データブローカーからの購入、過去のデータ漏洩で流出した情報など、複数の経路を組み合わせて以下の情報を入手します。
- 氏名、生年月日、住所
- 電話番号、メールアドレス
- 携帯キャリアの契約情報 (アカウント番号、PIN コード)
- 本人確認に使われるセキュリティの質問の回答 (母親の旧姓、ペットの名前など)
フェーズ 2: キャリアへのなりすまし
収集した情報を武器に、攻撃者は携帯キャリアのカスタマーサポートに連絡します。「スマートフォンを紛失した」「SIM カードが壊れた」といった口実で、電話番号を新しい SIM カードに移行するよう依頼します。本人確認の質問に正しく回答できるため、オペレーターは正規の顧客だと信じてしまいます。
一部のケースでは、攻撃者がキャリアの内部関係者を買収し、正規の手続きを経ずに SIM の切り替えを実行させることもあります。2023 年に米国で摘発された事例では、キャリア従業員が 1 件あたり数百ドルの報酬で SIM スワップに加担していたことが明らかになりました。
フェーズ 3: 電話番号の奪取
SIM の切り替えが完了すると、被害者のスマートフォンは即座に圏外になります。すべての通話と SMS は攻撃者の端末に転送されます。被害者が異変に気づくまでの数分から数時間が、攻撃者にとっての「ゴールデンタイム」です。
フェーズ 4: アカウントの乗っ取り
電話番号を掌握した攻撃者は、SMS ベースの二要素認証 (2FA) を突破してアカウントに侵入します。典型的な攻撃シナリオは以下のとおりです。
- メールアカウントの「パスワードを忘れた」機能を使い、SMS で認証コードを受信する
- メールアカウントを乗っ取り、そこから銀行、暗号資産取引所、SNS のパスワードリセットを連鎖的に実行する
- 暗号資産を攻撃者のウォレットに送金する、銀行口座から資金を移動する
なぜ SMS 認証は脆弱なのか
SMS ベースの 2FA は、認証の「第二要素」として電話番号の所有を証明する仕組みです。しかし、電話番号は SIM スワッピングによって容易に移転できるため、所有の証明として機能しません。
NIST (米国国立標準技術研究所) は 2016 年の SP 800-63B で、SMS を認証の手段として使用することを「制限付き (restricted)」と位置づけ、より安全な代替手段への移行を推奨しています。その理由は明確です。
- SMS は暗号化されていない平文で送信される。SS7 プロトコルの脆弱性を突けば、通信経路上で傍受できる
- 電話番号は個人に永続的に紐づく識別子ではなく、キャリアの手続きで移転可能な一時的な割り当てにすぎない
- SIM スワッピング以外にも、SS7 攻撃、マルウェアによる SMS 傍受、ボイスフィッシングなど、SMS を迂回する手法は複数存在する
SMS 認証は「ないよりはまし」ですが、高価値のアカウント (金融、暗号資産、メール) を保護するには不十分です。
SIM スワッピングの被害に遭ったサイン
以下の兆候が 1 つでも現れた場合、SIM スワッピングの被害を疑い、直ちに対応を開始してください。
- 突然スマートフォンが圏外になり、通話も SMS も受信できなくなる
- キャリアから「SIM カードの変更が完了しました」という通知が届く (メールや別端末で確認)
- メールや SNS のアカウントにログインできなくなる
- 銀行口座や暗号資産ウォレットから身に覚えのない送金通知が届く
- 知人から「あなたのアカウントから不審なメッセージが来た」と連絡がある
被害に気づいたら、まずキャリアに電話して SIM の無効化を依頼し、次に金融機関への連絡、パスワードの変更を最優先で実行してください。
防御策 - SMS 認証からの脱却と多層防御
1. ハードウェアセキュリティキーの導入
FIDO2/WebAuthn 対応のハードウェアセキュリティキー (YubiKey、Google Titan Security Key など) は、SIM スワッピングに対して最も強力な防御手段です。認証は物理デバイスの所持と暗号学的な証明に基づくため、電話番号の乗っ取りでは突破できません。
パスキーも同様に、公開鍵暗号方式に基づく認証であり、SMS に依存しません。対応サービスでは積極的にパスキーへの移行を検討してください。
2. 認証アプリへの移行
Google Authenticator、Microsoft Authenticator、Authy などの TOTP (Time-based One-Time Password) アプリは、SMS よりも安全な 2FA 手段です。認証コードはデバイス内で生成されるため、電話番号の乗っ取りでは取得できません。
ただし、認証アプリのバックアップコードの管理には注意が必要です。バックアップコードが漏洩すれば、認証アプリの保護も無効化されます。
3. キャリアの SIM ロック (ポートフリーズ) を設定する
多くの携帯キャリアは、SIM の変更や番号ポータビリティに追加の認証を要求する機能を提供しています。
- SIM ロック PIN: SIM の変更時に専用の PIN コードを要求する
- ポートフリーズ: 番号ポータビリティ (MNP) を一時的に凍結する
- アカウント PIN: カスタマーサポートへの問い合わせ時に追加の認証を要求する
これらの設定は、キャリアのマイページまたは店頭で有効化できます。設定していない場合は今すぐ有効にしてください。
4. 個人情報の露出を最小化する
SIM スワッピングの起点は個人情報の収集です。攻撃者に渡る情報を減らすことが、根本的な防御になります。
- SNS で生年月日、住所、電話番号を公開しない
- ソーシャルメディアのプライバシー設定を見直し、公開範囲を最小限にする
- データブローカーサイトから自分の情報を削除する (opt-out 手続き)
- デジタルフットプリントを定期的に確認し、不要な情報の露出を把握する
- IP 確認さんで自分の IP アドレスやネットワーク情報がどの程度公開されているかを確認する
5. 重要アカウントの電話番号を分離する
金融機関や暗号資産取引所に登録する電話番号を、日常使いの番号とは別にする方法も有効です。Google Voice や専用の SIM カードを使い、その番号を公開しないことで、攻撃者が標的とする番号を特定しにくくなります。
eSIM は SIM スワッピングを防げるか
eSIM (組み込み型 SIM) は物理的な SIM カードの差し替えが不要なため、「SIM スワッピングに強い」と言われることがあります。しかし、eSIM であっても、キャリアのカスタマーサポートを通じたプロファイルの再発行は可能です。
eSIM の利点は、物理的な SIM カードの盗難や差し替えを防げる点にあります。しかし、SIM スワッピングの本質はキャリアの本人確認プロセスの脆弱性にあるため、eSIM だけでは根本的な解決にはなりません。eSIM の導入に加えて、キャリアの SIM ロック設定と SMS 認証からの脱却を組み合わせることが重要です。
まとめ - 電話番号に依存しないセキュリティ体制へ
SIM スワッピングは、電話番号という「弱い鎖」を突く攻撃です。SMS 認証に依存している限り、どれほど強力なパスワードを設定しても、電話番号の乗っ取りひとつで全てが崩壊します。
防御の核心は、認証の基盤を電話番号から暗号学的な手段 (ハードウェアキー、パスキー、認証アプリ) に移行することです。同時に、キャリアの SIM ロック設定と個人情報の露出管理を組み合わせた多層防御を構築してください。
まずはIP 確認さんで自分のネットワーク情報を確認し、どの程度の情報が外部に公開されているかを把握することから始めましょう。
SIM スワップ攻撃の対策を体系的に学びたい方には、サイバーセキュリティの入門書が参考になります。