電話番号を使ったなりすましの深刻さ
電話番号は、本人確認やアカウント認証に広く使われているため、悪用されると深刻な被害につながります。犯罪者は盗んだ電話番号を使って、銀行口座の不正アクセス、SNS アカウントの乗っ取り、クレジットカードの不正利用などを行います。電話番号を悪用したなりすまし被害は年々増加しており、被害額も高額化しています。
なりすまし被害の特徴は、被害者が気づくまでに時間がかかる点です。攻撃者は電話番号を乗っ取った後、SMS 認証を突破して各種サービスにアクセスし、金銭的な被害を与えます。被害に遭ってから対処するのではなく、事前の防御策を講じることが重要です。本記事では、電話番号を悪用したなりすましの主な手口と、被害を防ぐための具体的な対策を解説します。
なりすましの主な手口
SIM スワップ攻撃
SIM スワップ攻撃は、攻撃者が通信キャリアのカスタマーサポートに連絡し、被害者になりすまして SIM カードの再発行を依頼する手口です。再発行された SIM を攻撃者の端末に挿入すると、被害者宛の電話や SMS がすべて攻撃者に届くようになります。これにより、SMS 認証コードを傍受し、銀行口座やSNS アカウントを乗っ取ります。
日本でも 2023 年以降、SIM スワップ攻撃の被害が急増しています。攻撃者は事前にフィッシングやソーシャルエンジニアリングで被害者の個人情報 (氏名、生年月日、住所など) を収集し、キャリアの本人確認を突破します。被害額は 1 件あたり数百万円に達するケースもあります。
発信者番号偽装 (スプーフィング)
他人の電話番号を表示して発信し、その人物になりすまして詐欺を行う手口です。VoIP 技術を悪用することで、任意の電話番号を着信側に表示させることが可能です。銀行や公的機関の番号を偽装して信頼を得た上で、個人情報や金銭を騙し取ります。
SMS 認証の傍受
マルウェアや SIM スワップを通じて SMS 認証コードを盗む手口です。Android 端末を標的としたマルウェアの中には、受信した SMS を自動的に外部サーバーに転送する機能を持つものがあります。攻撃者はリアルタイムで認証コードを取得し、被害者のアカウントにアクセスします。
被害を防ぐための具体的な対策
電話番号を悪用したなりすまし被害を防ぐために、以下の対策を実施してください。
- SMS 認証から認証アプリに移行する — Google Authenticator や Microsoft Authenticator などの認証アプリは、通信経路を経由しないため SIM スワップ攻撃の影響を受けません。金融機関やメールアカウントなど、重要なサービスから優先的に移行しましょう。
- SIM ロック (PIN コード) を設定する — 通信キャリアに SIM ロックの設定を依頼し、SIM カードの再発行時に PIN コードの入力を必須にしてください。不正な再発行を防止する効果的な対策です。
- 個人情報の流出を防ぐ — SIM スワップ攻撃の前段階として、攻撃者はフィッシングで個人情報を収集します。不審なメールやSMS のリンクをクリックしない、SNS で個人情報を公開しないなど、基本的なセキュリティ対策を徹底してください。
- パスキーやハードウェアキーを導入する — FIDO2/WebAuthn に対応したパスキーやハードウェアセキュリティキー (YubiKey など) は、フィッシング耐性が極めて高く、なりすまし被害を根本的に防止できます。
- 通信キャリアの通知サービスを活用する — 一部のキャリアでは、SIM カードの変更や番号の移転が行われた際に通知を送るサービスを提供しています。不正な操作を早期に検知するために活用しましょう。
被害に遭った場合の緊急対応
即座に行うべきこと
電話番号が乗っ取られた疑いがある場合は、直ちに通信キャリアに連絡して回線を停止してください。次に、銀行や SNS など、電話番号を登録しているすべてのサービスのパスワードを変更し、不正利用がないか確認しましょう。
警察への被害届
金銭的な被害が発生した場合は、最寄りの警察署に被害届を提出してください。SIM スワップ攻撃は不正アクセス禁止法や詐欺罪に該当する犯罪行為です。被害届の提出は、捜査の開始と被害回復の第一歩です。
金融機関への連絡
銀行口座やクレジットカードの不正利用が疑われる場合は、金融機関に直ちに連絡し、口座の凍結やカードの利用停止を依頼してください。振り込め詐欺救済法に基づき、犯人の口座に残高があれば被害金の返還を受けられる可能性があります。
なりすまし被害の実態と統計
警察庁の統計によると、SIM スワップ攻撃を含む不正アクセス事案の検挙件数は年々増加しています。2023 年の不正アクセス禁止法違反の検挙件数は 500 件を超え、被害額は数十億円規模に達しています。特に、電話番号を起点としたアカウント乗っ取りは、被害者が気づくまでに平均 24〜48 時間を要するとされ、その間に多額の金銭被害が発生するケースが報告されています。
なりすまし被害の特徴として、被害者の年齢層が幅広い点が挙げられます。従来の特殊詐欺は高齢者が主な標的でしたが、SIM スワップ攻撃やアカウント乗っ取りは、スマートフォンを日常的に利用する 20〜50 代のユーザーも被害に遭っています。暗号資産 (仮想通貨) の取引口座が乗っ取られ、数千万円相当の資産が流出した事例も報告されています。
企業側の対策と本人確認の強化
通信事業者の取り組み
SIM スワップ攻撃の増加を受け、日本の主要通信事業者は本人確認手続きの強化を進めています。SIM カードの再発行時に、対面での本人確認を必須とする運用や、マイナンバーカードの IC チップ読み取りによる厳格な本人確認を導入する事業者が増えています。また、SIM の変更が行われた際に登録メールアドレスに通知を送るサービスも提供されています。
金融機関の対策
金融機関では、SMS 認証に加えて、アプリ内認証やハードウェアトークンを併用する多要素認証の導入が進んでいます。一部の銀行では、高額送金時に電話による本人確認を追加で実施するなど、リスクベースの認証を採用しています。利用者としては、金融機関が提供する最も安全な認証方式を積極的に選択することが重要です。
なりすまし被害からの回復手順
なりすまし被害に遭った場合、被害の回復には時間と労力を要しますが、適切な手順を踏むことで被害を最小限に抑えられます。
- 被害状況の記録 — 不正利用された日時、金額、サービス名をすべて記録する。スクリーンショットや取引明細を証拠として保存する
- 信用情報機関への連絡 — CIC (シー・アイ・シー) や JICC (日本信用情報機構) に連絡し、自分の信用情報に不審な照会や契約がないか確認する。必要に応じて「本人申告」制度を利用し、なりすまし被害の事実を登録する
- 各サービスのアカウント復旧 — 乗っ取られたアカウントの復旧手続きを行う。多くのサービスでは、本人確認書類の提出によりアカウントを取り戻すことが可能
- 弁護士への相談 — 被害額が大きい場合は、弁護士に相談して法的手段を検討する。不正アクセス禁止法違反や詐欺罪での告訴が可能
まとめ — 事前の防御が最大の対策
電話番号を悪用したなりすまし被害は、一度発生すると回復に多大な時間と労力を要します。SMS 認証から認証アプリへの移行、SIM ロックの設定、個人情報の流出防止など、事前の防御策を講じることが最も効果的な対策です。被害に遭った場合は、通信キャリア・金融機関・警察に速やかに連絡し、被害の拡大を防いでください。