モバイル・IoT セキュリティ

SIM スワップ攻撃

約 4 分で読めます

最終更新: 2026-03-22

SIM スワップ攻撃とは

SIM スワップ攻撃 (SIM Swap Attack / SIM ハイジャック) とは、攻撃者が携帯電話会社を騙して、被害者の電話番号を攻撃者が管理する SIM カードに移し替える攻撃手法です。電話番号の制御を奪うことで、SMS で送信される二要素認証のコードを傍受し、銀行口座、暗号資産ウォレット、メールアカウントなどに不正アクセスします。

この攻撃は技術的に高度なハッキングではなく、ソーシャルエンジニアリングを主な手段とします。攻撃者は事前にフィッシングやデータ漏洩で入手した個人情報 (氏名、住所、生年月日、口座番号など) を使って携帯電話会社のカスタマーサポートに連絡し、「SIM カードを紛失した」「機種変更したい」と偽って番号の移行を依頼します。

日本でも 2022 年以降、SIM スワップ攻撃による不正送金被害が報告されており、総務省が携帯電話会社に対して本人確認の厳格化を要請しています。

SIM スワップ攻撃の具体的な手口

  1. 個人情報の収集: 攻撃者はフィッシングメール、SNS の公開情報、過去のデータ漏洩で流出した情報、ダークウェブで販売されている個人情報などから、ターゲットの氏名、住所、生年月日、電話番号、口座情報を収集する。
  2. 携帯電話会社への連絡: 収集した個人情報を使って携帯電話会社のカスタマーサポートに連絡し、本人になりすます。「SIM を紛失した」「新しい端末に変更したい」と申告し、番号を新しい SIM に移行するよう依頼する。
  3. SIM の切り替え: 携帯電話会社が本人確認を通過させると、被害者の電話番号が攻撃者の SIM に移行される。この時点で被害者のスマートフォンは圏外になり、電話も SMS も受信できなくなる。
  4. アカウントの乗っ取り: 攻撃者は被害者の電話番号で SMS 認証コードを受信し、銀行口座、メールアカウント、暗号資産取引所などにログイン。パスワードリセットも SMS 経由で実行できるため、パスワードを知らなくてもアカウントを乗っ取れる。

攻撃の全プロセスは数時間以内に完了することが多く、被害者が異変に気づいた時にはすでに資金が移動されています。

SIM スワップ攻撃への防御策

SIM スワップ攻撃から身を守るための具体的な対策です。

  • SMS 認証からの脱却: 最も効果的な対策は、SMS ベースの二要素認証を使わないことです。TOTP (Google Authenticator、Authy などの認証アプリ) やパスキーに切り替えることで、電話番号が奪われても認証コードは傍受されません。
  • 携帯電話会社の PIN / パスワード設定: 多くの携帯電話会社では、SIM の変更や番号ポータビリティに追加の PIN やパスワードを設定できます。NTT ドコモ、au、ソフトバンクいずれも、ショップでの手続き時に暗証番号の確認を行っています。
  • 個人情報の公開を最小化: SNS での生年月日、住所、電話番号の公開を避ける。攻撃者が本人確認に使える情報を減らすことで、ソーシャルエンジニアリングの成功率を下げる。
  • 異変の早期検知: スマートフォンが突然圏外になった、SMS が届かなくなった場合は、SIM スワップ攻撃の可能性を疑い、直ちに携帯電話会社に連絡する。時間が経つほど被害が拡大する。
  • 重要アカウントのメール通知: 銀行口座や暗号資産取引所のログイン通知、送金通知をメールで受け取る設定にしておく。不正アクセスの早期発見につながる。

SMS 認証のリスクと代替手段

SIM スワップ攻撃の根本的な問題は、SMS が認証手段として脆弱であることです。NIST (米国国立標準技術研究所) は 2016 年の時点で、SMS ベースの認証を「非推奨」としています。

SMS 認証が脆弱な理由は SIM スワップだけではありません。

  • SS7 プロトコルの脆弱性: 電話網の基盤プロトコルである SS7 には設計上の脆弱性があり、SMS の傍受が技術的に可能。
  • マルウェアによる SMS 傍受: Android デバイスにインストールされたマルウェアが SMS を読み取り、攻撃者に転送するケースがある。

代替手段の推奨順位は以下のとおりです。

  1. パスキー: フィッシング耐性があり、最も安全。デバイスの生体認証と連携し、利便性も高い。
  2. TOTP 認証アプリ: デバイス上で生成されるワンタイムパスワード。通信経路に依存しないため、SIM スワップの影響を受けない。
  3. ハードウェアセキュリティキー: YubiKey などの物理デバイス。フィッシング耐性があり、企業環境で広く採用されている。

すべてのサービスが SMS 以外の認証に対応しているわけではありませんが、銀行、メール、暗号資産など重要なアカウントから優先的に移行することを強く推奨します。

よくある誤解

SIM スワップ攻撃は有名人や富裕層だけが狙われる
暗号資産を保有する一般ユーザーや、SMS 認証に依存するオンラインバンキングの利用者も標的になります。攻撃者はダークウェブで大量の個人情報を安価に入手でき、自動化ツールで多数のターゲットを同時に攻撃できます。
日本の携帯電話会社は本人確認が厳しいから SIM スワップは起きない
日本でも 2022 年以降、SIM スワップ攻撃による被害が複数報告されています。偽造した本人確認書類を使ってショップで SIM を再発行させる手口が確認されており、携帯電話会社も対策を強化していますが、リスクはゼロではありません。

関連用語

二要素認証 (2FA) パスワードに加えて、もう 1 つの認証要素 (SMS コード、認証アプリ、物理キーなど) を要求するセキュリティ手法。パスワードが漏洩しても不正アクセスを防止で… ソーシャルエンジニアリング 技術的な手段ではなく、人間の心理的な弱点を突いて情報を詐取する攻撃手法。権威への服従、緊急性の演出、好意の利用など、さまざまな心理テクニックが用いられる。技術的… フィッシング 正規の組織や個人を装い、パスワードやクレジットカード情報などの機密情報を詐取する攻撃手法。メール、SMS (スミッシング)、偽 Web サイトなど多様な手段が使… TOTP (時間ベースワンタイムパスワード) 現在時刻と共有秘密鍵から一定時間 (通常 30 秒) ごとに新しいワンタイムパスワードを生成するアルゴリズム。Google Authenticator や Au… パスキー FIDO2 標準に基づくパスワードレス認証技術。公開鍵暗号方式を利用し、生体認証や PIN でログインできる。フィッシング耐性が高く、パスワードの記憶や管理が不…

関連記事

二要素認証 (2FA) とは?アカウントを守る最強の防御策 二要素認証の仕組み、種類 (SMS ・ TOTP ・ FIDO2)、設定方法、そしてなぜパスワードだけでは不十分なのかを解説します。… スマートフォンのプライバシー設定:見落としがちな 8 つの項目 スマートフォンから漏れる個人情報のリスクと、iOS・Android それぞれで確認すべきプライバシー設定を解説します。…
← 用語集