SIM スワップとは、攻撃者が通信事業者の本人確認手続きを欺き、被害者の電話番号を攻撃者が所持する SIM カードに移し替える攻撃手法です。番号の移転が完了すると、被害者宛ての通話と SMS がすべて攻撃者の端末に届くようになり、被害者の携帯電話は「圏外」状態に陥ります。
攻撃の主目的は、SMS で送信される二段階認証コードの傍受です。銀行のオンラインバンキング、暗号資産取引所、メールアカウントなど、SMS 認証に依存するサービスが標的になります。攻撃者はあらかじめフィッシングやデータ漏洩で入手したパスワードと、傍受した SMS コードを組み合わせてアカウントに侵入します。米国では 2021 年に FBI が SIM スワップ被害額を年間 6,800 万ドル超と報告しており、日本国内でも 2022 年以降、携帯ショップの店員を買収して不正に番号を移転させる事件が複数摘発されています。
攻撃者が通信事業者を騙す手口は主に 2 つです。第一に、ソーシャルエンジニアリング。被害者の氏名・生年月日・住所などの個人情報を事前に収集し、コールセンターに電話して「SIM を紛失した」と申告します。第二に、通信事業者の店舗スタッフを共犯者として取り込む内部犯行です。後者は検知が難しく、被害が大規模になりやすい傾向があります。
防衛策として最も効果的なのは、SMS 認証から認証アプリ (Google Authenticator、Authy など) やハードウェアキー (YubiKey など) への移行です。通信事業者のアカウントに PIN コードやパスフレーズを設定し、店頭・電話での手続き時に追加認証を求める設定も有効です。携帯電話が突然圏外になった場合は SIM スワップの可能性を疑い、直ちに通信事業者に連絡してください。二段階認証と電話番号のリスクで SMS 認証の脆弱性と代替手段を詳しく解説しています。