英国の国家詐欺データベースによると、SIMスワップ詐欺の件数が過去1年間で10倍に増加した。
犯罪者は携帯電話番号を乗っ取り、二要素認証コードを傍受してユーザーアカウントを侵害している。マークス・アンド・スペンサーも被害を受け、攻撃者がSIMスワップ技術を使用してIT担当者を騙し、パスワードリセットを実行させた。
日本でも2022年からSIMスワップ詐欺が発生し、同年1月から6月は15件で被害額約1億2,000万円、7月から12月は63件で被害額約2億7,000万円に増加した。しかし2023年1月から6月は4件で被害額約3,400万円に急減し、警察庁が公表した同年上半期のデータにおいては、5月以降の新たな被害は報告されていない。英国政府は2025年末までにGOV.UKサービス全体でSMS認証をパスキー技術に置き換える計画を発表した。
From: 
SIM Swap Fraud Is Surging — and That’s a Good Thing
【編集部解説】
innovaTopiaの読者の皆さん、今回のSIMスワップ詐欺に関するニュースは、グローバルなセキュリティ動向と日本の現状を比較する上で非常に興味深い事案です。英国では詐欺が急増している一方で、日本では対策が功を奏している状況が浮き彫りになっています。
なぜ英国で急増、日本で減少なのか
記事の著者が「良いこと」と表現している理由は、攻撃者が従来の手法から押し出されている証拠だからです。企業が多要素認証を本格導入し始めたため、単純なパスワード攻撃では突破できなくなりました。その結果、犯罪者たちはより複雑で手間のかかる手法であるSIMスワップに移行せざるを得なくなっています。
一方、日本では総務省と警察庁が携帯電話事業者に本人確認強化を要請した結果、2023年以降は被害が激減しています。これは規制当局の迅速な対応が効果的だったことを示しています。
日本の被害実態と対策効果
日本におけるSIMスワップ詐欺の被害状況を見ると、2022年前半の15件・1億2,000万円から後半の63件・2億7,000万円へと急増しましたが、2023年前半には4件・3,400万円まで激減しました。神戸市の谷川龍二さんのケースでは、偽造免許証を使った犯人によって約1,000万円が不正送金される被害が発生しています。
特に注目すべきは、地方自治体議員を狙った攻撃が2024年から続発していることです。議員の個人情報が公開されているため、これを悪用してマイナンバーカードを偽造し、本人になりすます手口が確認されています。
技術的メカニズムと脆弱性
SIMスワップ攻撃の仕組みは、フィッシング詐欺で個人情報を収集し、偽造身分証を使って携帯電話会社を騙すというアナログとデジタルの複合攻撃です。特にeSIMの普及により、物理的なSIMカードの入手が不要になったため、攻撃の敷居が下がっています。
日本の事例では、被害者のスマートフォンが使用不能になってからわずか15分で不正送金が完了するケースも報告されており、攻撃の迅速性が問題となっています。
マークス・アンド・スペンサー事件の教訓
2025年に発生したマークス・アンド・スペンサーへの攻撃は、SIMスワップが個人レベルから企業レベルの脅威に進化したことを示す象徴的な事件です。攻撃者は従業員になりすましてITヘルプデスクに連絡し、パスワードリセットを実行させました。
この事件は、企業のセキュリティ対策において人的要因が最大の脆弱性であることを改めて証明しています。技術的な防御を強化しても、ソーシャルエンジニアリングによって迂回される可能性があるのです。
英国政府のパスキー導入戦略
英国政府は2025年末までに、GOV.UKサービス全体でSMS認証をパスキー技術に置き換える計画を発表しました。これは単なる技術的アップグレードではなく、国家レベルでのセキュリティパラダイムシフトを意味します。
パスキーは公開鍵暗号化技術を使用し、生体認証と組み合わせることで、フィッシング攻撃やSIMスワップ攻撃に対して根本的な耐性を持ちます。この技術により、ユーザーは複雑なパスワードを記憶する必要がなくなり、同時に最高レベルのセキュリティを実現できます。
日本への示唆と今後の展望
日本では規制強化により一時的に被害が減少しましたが、攻撃手法の進化は止まりません。AIを活用した音声合成技術やディープフェイクの普及により、今後はより巧妙な攻撃が予想されます。
企業にとって重要なのは、SMS認証への依存を減らし、多層防御の考え方を取り入れることです。パスワードリセットや権限昇格プロセスを電話番号に依存しない設計に変更し、組織全体のセキュリティ意識を向上させる必要があります。
読者への示唆
この事案が示すのは、セキュリティは技術だけでは解決できないという現実です。規制、技術、教育の三位一体による取り組みが必要であり、日本の成功事例は他国にとっても参考になるでしょう。
同時に、次世代認証技術への移行期に私たちが立っていることも意味しています。パスキーやFIDO2標準への移行は、デジタル社会の基盤をより強固にする必要不可欠なプロセスなのです。
【用語解説】
SIMスワップ詐欺(SIM Swap Fraud)
犯罪者が被害者になりすまして携帯電話会社に連絡し、被害者の電話番号を自分の管理下にあるSIMカードに移転させる詐欺手法。
二要素認証(2FA:Two-Factor Authentication)
パスワードに加えて、SMSコードや認証アプリなど第二の認証要素を組み合わせるセキュリティ手法。SMS認証の脆弱性が問題となっている。
フィッシング詐欺
偽のWebサイトやメールを使って個人情報を騙し取る詐欺手法。SIMスワップ詐欺の前段階として使われることが多い。
パスキー(Passkeys)
公開鍵暗号化技術を使用した認証方式。生体認証と組み合わせることで、フィッシング攻撃やSIMスワップ攻撃に対して根本的な耐性を持つ次世代認証技術。
eSIM(Embedded SIM)
物理的なSIMカードではなく、デバイスに組み込まれたデジタルSIM。利便性が向上する一方で、攻撃者にとっても乗っ取りの敷居が下がる要因となっている。
MNP(Mobile Number Portability)
携帯電話番号を変更せずに通信事業者を変更できる制度。SIMスワップ詐欺では、この制度を悪用して被害者の電話番号を乗っ取る手口が使われる。
【参考リンク】
警察庁サイバーセキュリティ対策(外部)
日本の警察庁によるサイバー犯罪対策の公式サイト。SIMスワップ詐欺を含む最新のサイバー犯罪動向と対策情報を提供
総務省 携帯電話の本人確認(外部)
携帯電話の本人確認強化を推進する総務省の公式サイト。SIMスワップ詐欺対策として事業者への要請を実施
フィッシング対策協議会(外部)
フィッシング詐欺の情報収集・分析・対策を行う協議会。月次報告でフィッシング攻撃の最新動向を発表
Promon(外部)
ノルウェーのモバイルアプリセキュリティ企業。記事著者Shaun Cooney氏が最高製品技術責任者を務める
FIDO Alliance(外部)
パスワードレス認証技術の標準化を推進する業界団体。FIDO2、WebAuthn、CTAPなどの仕様を策定
【参考記事】
令和6年におけるサイバー空間をめぐる脅威の情勢等について(外部)
警察庁による日本のサイバー犯罪統計。SIMスワップ詐欺の発生状況と対策効果について詳細なデータを提供
【編集部後記】
皆さんは普段、どのような認証方法を使っていますか?日本では規制強化によりSIMスワップ詐欺が減少しましたが、海外では依然として深刻な問題となっています。もしかすると、皆さんの中にも「日本は安全だから大丈夫」と感じている方がいらっしゃるかもしれません。しかし、攻撃手法は日々進化しており、AIを活用した新たな脅威も登場しています。実際に皆さんが使っているサービスで、どのような認証方法を採用しているか、ぜひ確認してみてください。一緒にこの技術革新の波を見つめていきましょう。
