議員が標的…スマホ乗っ取り事件

5月2日、大阪府八尾市の松田憲幸市議が自身のXにて、携帯電話が乗っ取られ、その後クレジットカードなどが不正に利用される、いわゆるSIMスワップ事件の被害を報告し、世間を震撼させた。

これまでの報道では、ソフトバンクの店頭で犯行が行われ、犯罪者が偽造したマイナンバーカードをショップ店員に提示したとみられるという。

分業制も…SIMスワップの手口とは

SIMスワップとは、不正な手法で被害者の電話番号自体を乗っ取る手法で、その代表的な手口はSIMカードを紛失したとして再発行を行うものである。

基本的に、犯罪者はまず所有者の情報収集を行うが、その手法は意外にも、携帯電話のプロバイダーを装ってWebサイトへのリンクが記載されたメールをターゲットに送り、生年月日などの個人情報や、時にはマイナンバーといった情報を入力させることで情報を収集するといったフィッシングメールの手法が用いられる。

フィッシングメールで個人情報の収集(イメージ)
フィッシングメールで個人情報の収集(イメージ)
この記事の画像(6枚)

他にも、SMSを使って個人情報を収集するスミッシング、SNS上で情報を漁る場合もあれば、特殊詐欺のように自動音声システムによる偽アンケートといった手口まで使う。

その後、犯罪者は収集した情報をもとに身分証を偽造、携帯電話ショップ店頭やネット上の手続きで「スマホを紛失したので機種変更をしたい」などとの名目で、SIMカードの再発行を受け、本来の所有者の知らぬところで、正規のSIMカードを取得。その後、攻撃者は金銭に関する不正利用を行う。

SIMカードを再発行させスマホを乗っ取る
SIMカードを再発行させスマホを乗っ取る

警察庁によれば、このSIMスワップのスキ―ムの代表例として、被害者から個人情報を収集するスミッシング役が、本人確認書類を偽造する偽造役に情報を渡し、偽造犯がSIMスワップの実行役に偽造書類を渡してSIMスワップを実行させるという分業制がとられ、2023年1月に愛知県警が検挙したSIMスワップ事件では、被疑者の一人が闇バイトで実行役を勧誘していた。

マイナカードの危険性の問題ではない

今回の事件を受け、マイナンバーカード自体の危険性を指摘する声もあるが、それは違う。

そもそも、今回の偽造自体は券面(見た目のみ)であり、ICチップの中身までは偽造できないため、ICチップ内の情報が漏れる、マイナンバーカード自体が危ないという話ではない。

マイナンバーカード(イメージ図)
マイナンバーカード(イメージ図)

この券面上の偽造は、運転免許証だろうとマイナンバーカードだろうと可能だ。

今回の事件でも、マイナンバーカードを提示された場合の本人確認は券面のみの目視確認にとどまっており、その真贋を確認する方法は担当者の“感覚“に依存していた。

マイナンバーカードの券面には、真贋を確認できるような偽造防止技術が使われており、パールインキ技術により、見る角度で色が変わる特殊な印刷手法も用いられており、外観上でも見抜けるようになっているが、これを窓口担当者に依存しているということになる。

店頭での本人確認の落とし穴

但し、携帯電話会社のマニュアルでは、機種変更時やNMP契約時に、それまで使用していた携帯電話本体等を確認するなどの手続きも存在し、これは携帯電話不正利用防止法が要求する本人確認手法をより強化したものであるが、一部の店頭ではマニュアルが遵守されていない実態もある。

(総務省・警察庁「携帯電話不正利用防止法」)
(総務省・警察庁「携帯電話不正利用防止法」)

犯罪者は、携帯電話ショップの本人確認方法さえリサーチしていただろうし、そもそも、SIMスワップの代表的手口である携帯電話の紛失に伴うSIMカード再発行の場合、使用していた端末の提示さえできないことになるため、犯罪者からすれば、その身分確認さえ突破すればよいということになる。

よって、複合的な身分確認が必要となるのだ。

本人確認強化策は現在検討中

このような問題点は以前から指摘されており、現在総務省がまさに本人確認強化に向けて動いているところだ。

総務省は、特殊詐欺対策を主眼として、携帯電話契約時の本人確認を強化する「不適正利用対策に関するワーキンググループ」を開催しており、同ワーキンググループの資料「携帯電話不正利用防止法に基づく本人確認方法の見直しの方向性について(2024年4月)」では、携帯電話不正利用防止法施行規則を見直す方向で検討しており、その本人確認の強化方針について示している。

重点計画を踏まえた見直しの方向性(案)
顧客等から顔写真のある本人確認書類を撮影した画像情報の送信を受ける本人確認方法については、 精巧に偽変造された本人確認書類が悪用されている実態に鑑み、廃止する。
同様に、顧客等から本人確認書類の写しの送付を受ける本人確認方法についても、一般的に写しは 偽変造が容易であり、その看破も困難であることから、廃止する。
顔写真のない本人確認書類を用いる非対面の本人確認方法については、原則廃止するが、偽造・改ざん対策が施された本人確認書類(住民票の写し等)の原本の送付を受ける本人確認方法については、 引き続き、一定条件の下、本人確認に利用可能とする。
上記のほか、顔写真のない本人確認書類を用いる対面の本人確認方法についても、上記に準じて見直しを検討する。

(総務省「携帯電話不正利用防止法に基づく本人確認方法の見直しの方向性について」)
(総務省「携帯電話不正利用防止法に基づく本人確認方法の見直しの方向性について」)

総務省は、2025年度以降の携帯電話不正利用防止法施行規則の改正・施行を目指しているほか、総務省側も令和5年6月に閣議決定された「デジタル社会の実現に向けた重点計画」で、“対面でも公的個人認証による本人確認を進める”としている。

しかし、そもそも対面であろうとマイナンバーカードのICを読み込むなどの確認を義務化するといった手段でなければ防げないのではと考えるのが自然だが、いきなりマイナンバーカードのIC読み込みなどの義務化の実現は、現場オペレーションの課題は山積しているとの声も聞こえてくるのが実情だ。

ショップ店頭でのマニュアルを遵守していなかった実態など、その隙間を突かれた事件であったと言えよう。

(執筆:日本カウンターインテリジェンス協会代表理事 稲村悠)

稲村 悠
稲村 悠

日本カウンターインテリジェンス協会代表理事
リスク・セキュリティ研究所所長
国際政治、外交・安全保障オンラインアカデミーOASISフェロー
官民で多くの諜報事件を捜査・調査した経験を持つスパイ実務の専門家。
警視庁公安部外事課の元公安部捜査官として、カウンターインテリジェンス(スパイ対策)の最前線で諜報活動の取り締まり及び情報収集に従事、警視総監賞など多数を受賞。
退職後は大手金融機関における社内調査や、大規模会計不正、品質不正などの不正調査業界で活躍し、民間で情報漏洩事案を端緒に多くの諜報事案を調査。
その後、大手コンサルティングファーム(Big4)において経済安全保障・地政学リスク対応支援コンサルティングに従事。
現在は、リスク・セキュリティ研究所にて、国内治安・テロ情勢や防犯、産業スパイの実態や企業の技術流出対策などの各種リスクやセキュリティの研究を行いながら、スパイ対策のコンサルティング、講演や執筆活動・メディア出演などの警鐘活動を行っている。
著書に『元公安捜査官が教える 「本音」「嘘」「秘密」を引き出す技術』