知らないうちに電話番号を盗まれる「SIMスワップ」日本でも本格化。1千万円不正送金被害も [811571704]

?2BP(2072) · 2022/10/26(水) 08:50:19.97

日本で流行の兆しをみせる「SIMスワップ」に要注意　その実態とは？

https://www.itmedia.co.jp/enterprise/articles/2210/25/news058.html

しかし最近、こうしたスマートフォンでの認証方式を脅かす非常に悩ましい事件が日本で発生しました。
2022年10月16日に神戸新聞が発表した記事によると、この事件の被害者は現金約1千万円の出金被害に
遭ったとされています。
https://www.kobe-np.co.jp/news/sougou/202210/0015728948.shtml

ざっくりと解説するとこの事件は、犯人グループが勝手にMNP（番号ポータビリティ制度）で被害者の
スマートフォンを解約して電話番号を奪い、奪った電話番号を使って銀行のオンラインバンキングに
不正ログインし、1千万円を不正送金したというものです。

　この事件の恐ろしさは、本人確認の重要な要素である「電話番号」が気付かないうちに奪われていたところに
あります。さまざまなサービスで電話番号を登録した結果、SMSで確認コードが送られてきたり、
金融機関などから自動音声の電話がかかってきたりといった経験を持つ読者の方も多いはずです。

しかしそれらは全て「電話番号の管理者が本人である」という前提で成立するものでしょう。
それが手元になく、気が付いたら解約されている状況は現代社会では非常に致命的だと言えます。

近年は、各携帯電話事業者でMNPに必要な手続きを簡単に実行できるようになっています。
ほぼ全ての携帯電話事業者でWebからMNP予約番号を取得できるので、Web管理画面に
アクセスできるID（多くは公知のメールアドレス）とパスワードが分かればMNPに必要な情報は全てそろいます。

　つまりMNP予約番号と偽の本人確認書類があれば、勝手に別の携帯事業者にポートインして
携帯電話番号を奪えます。このような“攻撃”手法は数年前から海外で目立っており「SIMスワップ」などと
呼ばれて注意喚起されてきましたが、ついに日本でもこれが流行し始めたと言えるでしょう。

（全文はソース参照）

2022/10/26(水) 08:52:30.33

MNNTRだろこれ

2022/10/26(水) 08:52:33.83

>>1神戸の事件とは
https://www.kobe-np.co.jp/news/sougou/202210/0015728948.shtml

■どこから情報が漏れたか

　兵庫県警サイバー犯罪対策課によると、「番号ポータビリティー制度」を使って、スマホが乗っ取られる被害は
近年、数は多くないものの、確認され始めている。他人のアカウントなどを乗っ取る行為は、
不正アクセス禁止法違反に当たるが、捜査関係者によると、その狙いは金融機関が設けた
セキュリティーの隙を突くことにある。

　今回のケースでは、出金時に銀行が架電で本人確認をしている。スマホに確認コードを記載した
ショートメッセージサービス（ＳＭＳ）を送って、ログイン画面に打ち込ませて認証する方法も普及している。
犯人はこれらのセキュリティーをすり抜けるためにスマホを乗っ取ったとみられる。

　犯人は男性の氏名と住所、生年月日が正しく記載された偽造免許証を持っていた。それだけでなく、
銀行の口座番号と暗証番号も完全に把握していた。男性は「いったいどこで情報を盗まれたか、
全く心当たりがない」と頭を抱える。

　捜査関係者の一人は「一つの可能性として『フィッシング』の手口が使われたかもしれない」との見立てを話す。

　フィッシングとはＳＭＳなどで偽サイトのＵＲＬを送りつけ、ＩＤやパスワード、口座番号などを書き込ませる手口だ。
「アマゾン」や「メルカリ」など有名な実在企業をかたることも多いため、疑わずにアクセスしてしまう事例は少なくない。

　男性も「ひっかかった記憶はない」と強調する。一方で、携帯電話にはフィッシングとみられるメールが
毎日大量に届いているという。

■免許偽造請負サイトも

　犯人は偽造の運転免許証も使ったとみられる。インターネット上には免許証や資格証明書の偽造を請け負う
業者のサイトが多数ある。

　あるサイトは、証明書の偽造について「全く他人の身分を奪う」などと説明し、「本物と９９・９％一致」などとうたう。
作成費用も運転免許証が５万５千円、５年パスポートは９万５千円などさまざまだ。

　「性別が同じ」「同じくらいの年齢」「氏名、生年月日、現住所、電話番号を入手できる」などの条件がそろう
なりすまし相手を見つけてメールで作成を依頼し、データを確認して料金を振り込めば実物を郵送するとしている。

　ある県警の捜査員はサイトが海外で作られた可能性を指摘する。実際、文言には不自然な日本語が見られる。
免許証の偽装、使用は有印公文書偽造違反の罪で、１年以上１０年以下の懲役が科せられ、重い罪だ。

2022/10/26(水) 08:53:52.85

楽天とかあれ絶対サクッとスワッピングできそうなのに何にも対策入らなかったよね（8月末に解約）
で、ahamoやpovoは実際に何かあったらしく長い間メンテやいわゆる囚人撮影を強いられてたわけで

2022/10/26(水) 08:56:12.28

予約番号の発行時に電話番号確認してないのあれ？

2022/10/26(水) 08:57:07.07

パスワード抜かれるアホが悪い

2022/10/26(水) 08:57:40.10

>>4
IDとパスワードがやられたらおしまいってのはどこも同じ
SIMスワップはコルセンへ電話発信+電話番号住所氏名生年月日が分かればできなくもないのが攻撃者側から見た利点
IDパスワードみたいな秘匿情報なんて使わずに公開情報だけでいける

2022/10/26(水) 08:58:13.15

MVNOん時にキャリアがちゃんと本人確認すりゃ済むことやん

免許証だけじゃなく実際に電話かけてSIMの所有者を確認すればこんな不正は通らない

2022/10/26(水) 08:58:23.94

そもそもだがMNP転出前のキャリアのwebページへの
ログインidやpassが漏れてる前提だからな
そりゃなんでもできるわな

2022/10/26(水) 09:13:51.06

携帯の番号で銀行にログインできるの?

2022/10/26(水) 09:16:47.66

>>10
ユーザーのキャリアのwebログインidとpassを奪う
↓
MNP転出
↓
新しいキャリアでSMS認証を受け取れるように

2022/10/26(水) 09:20:31.94

こっわ( ´ ▽ ` )ﾉ

2022/10/26(水) 09:38:05.87

だいぶ手間だな

2022/10/26(水) 10:15:22.99

どうすればいいんだよ

2022/10/26(水) 10:16:42.51

逆にこっちが詐欺しても詐欺のせいにできるじゃん

2022/10/26(水) 10:19:02.23

仮に電話番号盗まれてもどうやって銀行から金持ち引き出すんだよ
パスワードだの指紋認証だの突破できんだろ

2022/10/26(水) 11:52:33.19

>>3
ま、そら引っかかるバカは「引っかかった覚えはない」っていうよね

2022/10/26(水) 12:44:26.14

>>16
これは銀行の暗証番号も把握されてた事件だからな
OTPのbot使ったのかもしれん

2022/10/26(水) 15:00:33.40

ネット銀行持ってないヾ(*´∀｀*)ﾉｷｬｯｷｬ