Category: Money

SIM swap詐欺がメディアで話題になったのは数年前のようで，その頃のICTメディアの解説記事を読むと，まずSIM swapありきの前提で，解ったような解らないような解説がしてあります．

犯行は概ね以下のような流れであるとの解説です．

1. フィッシングなどによりキャリアとの契約ID，パスワード，電話番号を抜き取る
2. 免許証を偽造して（どうやって住所などの情報を得るのか?）窓口に出向いてSIM紛失を申し出て再発行を受ける（正規ユーザー＝被害者のSIMは無効になる）
3. 不正に入手したSIMを犯罪グループのスマートフォンに入れて起動し，銀行アプリなどを使って犯罪グループの口座に不正に送金する

しかし，SIMカードを不正に入手したからといって銀行アプリで不正アクセスするのは無理でしょう．iPhoneであったらiCloudのアカウント情報，AndroidであればGoogleのアカウント情報が最低限必要で，それらが入手できた上で二段階認証を突破できれば（たぶん電話番号が同一というだけではできないと思います）使用していたアプリが「復元」できます．また，銀行アプリのアカウント情報については復元できるかどうかはアプリ次第でしょう．

最近の報道ではSIMが不正入手されてから銀行口座にアクセスされて不正に出金されるまではほんの数十分で，自分のSIMが使えないと気付いたときはたいてい手遅れだとのことです．

iCloudやGoogleのアカウントをハッキングして銀行アプリを探し出してハッキングするというのは数十分では無理でしょう.

またSIM swap詐欺が出始めた頃のICTメディアの記事にある「自分のSIMが有効か気をつける（まめにアンテナの表示を確認する）」というのはあまり意味がないことが分かります．

何が違うかというと，そもそも先にフィッシングで携帯電話の情報をだまし取ってSIMを不正に入手する，という犯行の手順です．

先にフィッシングで銀行口座をだまし取って，付随する電話番号からSIMの不正入手をする，というのが正しい😅 犯行手順と推測されます．

SIM swap 詐欺の被害者にならないようにするにはどうすればよいか，考えてきましたが，やはりMVNOと契約するのが一番リスクが低いと思います．

その根拠はMVNOの契約者数の少なさです．最近のデータでも全契約者のうちの10%足らずのようです．

最近の報道に寄れば，犯行グループはフィッシングなどによって銀行口座情報などを抜き取ります．また同時に得た電話番号に基づきキャリアを特定します．しかし，前の記事の考察の通り，犯行グループはMVNOの場合はどのMVNOか，それ以前にMVNOかどうかも知り得ません．

闇バイトに応募した人の写真とフィッシングで得た情報から偽造した免許証をその応募した人に渡しキャリアの窓口に出向かせます．で，もしターゲットがMVNOの契約者であったら，そこでアウトですが，その確率は10%未満です．何か勘違いしたとかごまかせばよいし，仮に捕まったとしても使い捨ての闇バイトです😔

犯行グループは闇バイトを使い捨てと認識していることは各種報道から明かですし，犯罪ですから他にもいろいろリスクがあり，MVNOである10%足らずの確率は無視できるのでしょう．

もちろん日頃からフィッシング詐欺に引っかからないように気をつけることは重要ですが，情報を抜かれても被害者はすぐには気がつかないのがこの詐欺の怖いところです．ですから，情報が抜かれたとしても被害に合わないように（＝SIM swapされにくくする）できることをしておくことは重要だと思います．

最近話題になっているSIM swap 詐欺については，数年前に書かれた「オンラインだけで手続きをするMVNOが危険」と考察する記事が多数見つかります．

SIM再発行のための情報だけを抜き取るならばたしかにそうかも知れませんが，犯罪者にとっての最終目的であるネットバンキングによって不正に預金を送金して奪うためには，同じ人から銀行の口座情報もフィッシングによって抜き取らなければなりません．

それを考えると，実店舗で偽造免許証によって人間の店員をだますという手段をとれば，フィッシングで抜き取るべき情報は銀行口座情報だけで済むことになります．

一度のフィッシングによって抜き取れるであろう情報は，

• 銀行名，本支店名，口座の種類，口座番号
• 口座名義
• 生年月日
• 連絡先電話番号

が，だます場合無難なところ😓 ですが，さらにメールアドレスがあれば便利ですし，運転免許証の画像まで得られれば後の作業はかなり楽でしょうね．もし免許証の画像の入手ができない場合は住所も得て適当な免許の日付と番号を付けた免許証を偽造するのでしょう．

次にSIM をだまし取るわけですが，まずは携帯の電話番号からどこのキャリアか下調べをしますが，MNPが一般的になった今日，番号が初期に割り振られた時のキャリアと今契約しているキャリアが同じとは限りません．

そこで，ターゲットに一度電話をかけてみて，呼び出し音からキャリアを割り出すことになります．それで闇バイトに応募した人に偽造免許証を持たせてキャリアの実店舗に出向かせます．

たぶん，こんな手順でしょう．

だとすると，MVNOは安全と言うことになります．まずどこのMVNOに契約しているか，呼び出し音を聞いたところで解らないでしょう．相手がどこのMVNOと契約しているか解らない状態で，SMSによってフィッシングを仕掛けてもさすがに有効な情報は得られないと思います．

それでももしSMSで送りつけた巧妙なフィッシングにかかり，MVNO名😓とID/パスワードを抜かれたらアウトかも知れません（登録メールアドレス（IDと兼用の場合が多い）だけだと，メールアカウントまでハックしないと，パスワードを変更できません）．

まただます側にもせっかく銀行口座情報を得ているのに，このおかしなSMSによって相手を警戒させて使えなくするリスクがあります．

ということで，一人の人が相当巧みであるとはいえフィッシングに2度引っかかる可能性を考えると，MVNOの方が安心と言えます．それもマイナーな会社ほど安全である確率が高そうです．