SIMスワップという、新たな詐欺の手口が起きています。

これは急にスマホが使えなくなり、故障かと思い、携帯ショップを訪れると、現在のSIMカードが使えなくなっており、新たに再発行されて、電話番号はそのままに別な人物が、自分になりすましてスマホを使っているという恐ろしい手口です。

ご存じのように、スマホには小さなICカードが入っています。これをSIMカードといいますが、これには本人が携帯会社と契約した情報が入っており、これをスマートフォン本体に差し込むことで、通話やインターネットの使用ができるようになっています。それを悪用して行われるのが、SIMスワップ詐欺の手口です。

SIMスワップの詐欺で、1千万円もの被害も

これにより、どのような被害に遭うのでしょうか。

別人が本人になりすましてスマホを使うことで、多額の金銭的被害に遭う可能性が高くなります。

最近は、インターネットバンキングのアプリを入れている方も多いと思いますが、なりすました人物により、スマホを使って銀行（インターネットバンキング）に不正にアクセスされてお金を引き出されてしまいます。

すでに「SIMスワップ」の手口を行った20代～30代の男女らが次々に逮捕されていますが、インターネットバンキングから勝手に引き出された金額が、1千万円にものぼっている被害者もいます。

組織的犯罪グループの手口とは

具体的な犯行の手口もみえてきています。

まず本人になりすました人物Aが「スマホをなくした」と携帯ショップに赴き、現在のSIMカードを使えなくしたところで、新たなSIMカードを再発行して、別なスマホに差し込みます。

こうして本人にスマホを使えなくさせたところで、インターネットバンキングにアクセスして、不正にお金を送金するわけです。

振り込みの際にはワンタイムパスワードなどが必要ですが、詐欺犯らの狙いはこれです。すでに本人になりすましてスマホを使っていますので、容易にSMS（ショートメッセージ）などやアプリなどでワンタイムパスワードが取得できますし、自動音声ガイダンスによる本人確認電話も可能ですので、ものの数分で送金ができてしまいます。さらに犯人らは、そのお金を暗号資産などにして送金し、さらに足がつかないような画策もしています。

ちなみに、すでに逮捕された犯人らは闇バイトなどで募集されていました。しかも、携帯ショップに赴く時には、携帯電話を契約している本人の住所などを記載した偽造免許証を持っていっています。すでに偽造免許証を用意しているわけですから、組織的犯罪グループの関与が強く疑われます。

被害に遭わないために

SIMスワップの被害に遭わないためには、どうしたらよいのでしょうか。

詐欺犯らは、本人になりすました偽造免許証を作り、銀行口座のIDやパスワードも知っていて犯行をしていることから、すでに何かしらの方法で個人情報を取得したと考えられます。もっとも考えられるのが、大手や地方の銀行などを装って送り付ける、フィッシンング詐欺メールやSMSを通じて、個人情報が盗まれた可能性です。

最近も、筆者のところにも大手銀行を騙り「ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、誠に勝手ながら、カードのご利用を一部制限させていただき」や「当社では、犯罪収益移転防止法に基づき、お取引を行う目的等を確認させていただいております」と焦らせるような文言でのメールが送られてきています。そして文面にある「お取引目的の確認」の文字をタップさせて、詐欺サイトへ飛ばせようとします。

その先には、本物そっくりのサイトが待っており、ID、パスワードなどを入力させて、情報を抜き取ろうとします。

なりすましメールを防ぐ対策も進んでいる

しかし日々、メールボックスにはたくさんのメールが届き、どれが本物の企業なのか、偽物なのかが、一目ではわからなくて困っている方もいることでしょう。

「今、DMARCを利用してのなりすましメールを防ぐ取り組みをしている企業も多くあります」と、データをもとに不正な取引や行為を検知できるシステム「O-MOTION（オーモーション）」を提供している、かっこ株式会社の担当者は教えてくれます。

「DMARCとは、メールを送信する正規業者が『なりすましのメールを受けないでほしい』と宣言することで、それをもとにメールを送信するサーバー側がなりすましメールかどうかを判定して、送信を拒否するなどの対策をとるものです。さらに、メールの認証結果（DMARCレポート）を受け取ることができ、これにより企業側は、なりすましメールの状況を可視化することができ、HPなどで利用者に注意喚起できます。一方、受信者側は、特別な設定は必要ありませんが、DMARC対応のメールサーバーを利用する必要があります」

さらに「最近ではDMARCにもとづいたBIMI（ビミ）という、ドメイン認証技術を採用しているところもあります。これを使えば、正規のメールであれば、企業のロゴ画像が送信者の横に表示されることになります」（同社担当者）

筆者は今、メールを見ていますが、確かに「Disney+」から来たメールには、企業ロゴのアイコンが表示されています。これならば、安心してメールを開くことができます。

しかも「この企業ロゴのアイコンを表示させるには、厳格な認証が必要なため、なりすましメールでは真似することはできないといわれている」ということです。

なぜ、なりすましのメールがこれだけ横行しているのか

フィッシング詐欺メールなどから情報を得ることによる、不正送金などの被害を防ぐために、かっこ株式会社では、企業向けの対策として、不正に取得された情報で、悪意ある第三者が不正ログインを試みることを防ぐ取り組みも行っています。

「たとえば、人の行動はそれぞれに特徴があります。端末を操作する際のキータッチのスピードがいつもと違う、PCであればマウスの挙動など、サイトへログインする操作情報の普段との違いと、IPアドレスなどの端末そのものの情報から、他人によるなりすましによる不正ログインではないかとの判断をして、企業にアラートを送るなどの検知も行っています」（同社担当者）

この点の対策も見逃してはなりません。なりすましメールを含めたフィッシング詐欺をなくすためには、不正に得た情報を使った、不正ログインを防ぐことも非常に重要です。

金銭的被害に遭わないためには、企業側のDMARCへの積極的な取り組みや、利用者自身が送られてきたものが詐欺メールかどうかを見極めるという入口対策に加えて、企業側の不正なログインをされないという出口対策も求められています。

いずれにしても、利用者はスマホが急に使えなくなったら、すぐにSIMスワップ詐欺の手口を思いだして、携帯会社に連絡をして下さい。金銭的被害に遭うかどうかは、時間との戦いです。何より、フィッシング詐欺のサイトに個人情報を入力した覚えや不安のある方は、この手口への警戒を持つ必要があります。