ドコモSIM回収騒動の裏で詐欺師が暗躍? 考えられる悪意あるシナリオ半径300メートルのIT

NTTドコモが提供するSIMカードの一部で通信不良が発生することが判明し、回収騒動となっています。ドコモユーザーは今利用しているSIMが該当するかどうかをまず確認しましょう。今回はこの騒動に乗じて詐欺師たちがどんな攻撃を仕掛ける可能性があるかを考えます。

» 2024年10月15日 07時00分 公開
[宮田健ITmedia]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 NTTドコモは2024年10月8日、同社が提供する「SIM」(ドコモUIMカード)に製造上のトラブルが発覚し、約93万枚のSIMを無償で交換すると発表しました。2021年12月〜2022年10月製造品の内、「GD06」から始まる製造番号(15桁)の一部で、ドコモから提供されているものとしてはライトブルー、いわゆる格安SIMと呼ばれるMVNO事業者では白いSIMが対象となります。既に一部MVNOでは対象者への連絡が始まっており、正常品との交換がアナウンスされています。

 非常に大きく報道されたので、この話をご存じの方も多いかと思います。わが家でも「GD06」から始まるSIMが1枚ありましたが、MVNOの第一報メールは届いていませんでした。ドコモユーザーの方は製造番号を確認の上、まずは落ち着いて対応しましょう。

筆者のSIMもGD06〜始まる製造番号だったが、非該当だった模様(出典:筆者撮影)

 SIMというのはもはや身分証明でもあります。個人的には今回の措置は少々危険な内容を含んでいると感じたので注意を喚起したいと思います。

SIM回収騒動の裏で詐欺師が暗躍するかも? 想定される悪意のシナリオ

 ご存じのように、スマートフォン/携帯電話のほとんどの製品には、SIMスロットが用意されています。電話番号にひも付いているのはこの小さな小さなSIMであり、これを別のスマートフォンに差し替えることで、使用している電話番号での着信が可能となります。

 最近では、Webサービスにおける本人確認としてSMSを送信したり、ワンタイムパスワードとしてSMSが使われたりすることも増えています。つまり、電話番号にひも付くSMSとは、パスワードによる認証が安全ではなくなってきている今、本人確認の最後の砦として使われているのです。

Webサービスのログイン時や、重要な情報の操作時に送られるワンタイムパスワードはSMSを使うことが多い(出典:筆者撮影したテキストメッセージ)

 そのため、このSIMを盗まれることは大変な問題なのです。現在は落ち着いていますが偽の身分証明書を使って勝手にSIMを再発行し、SMS認証を奪う「SIMスワッピング」が国内外で大きな脅威となっていました。サイバー攻撃者はあなたのSIMを狙っているのです。

 今回、発表されたのはあくまで製造上のトラブルによるSIMの交換です。しかし、これを詐欺師の視点から見ると、大きなチャンスに映る可能性があります。「テレビや新聞でも報道があった、SIMの交換に参りました」と戸口で訪問してきて、「ああ、あれか!」とSIMを渡してしまったとすると、上記のSIMスワップと同様のことができてしまいます。

 恐らく詐欺師の視点では振り込め詐欺と組み合わせ、通帳と一緒にSIMまで巻き上げるというシナリオが既にでき上がっているかもしれません。

 NTTドコモやMVNOも、今回のアナウンスの中で「ドコモUIMカードの交換に際し、ドコモからお客さまに対し、郵送でのドコモUIMカードの返却をお願いすることはありません」と明言しています。そのため、ぜひ本件はここまでをセットとして、家族に話しておく、従業員に話しておくことが必要になるでしょう。

NTTドコモからも郵送でのドコモUIMカードの返却を要求することはないとしている。この他、MVNOであるIIJ(IIJmio)ではさらなる注意喚起として「IIJから「SIMカードを送ってください」とお願いすることはありません」とアナウンスしている(出典:NTTドコモのプレスリリースから抜粋)

SIMはなるべく誰にも触らせない

 SMSを2要素認証に利用することについては、米国立標準技術研究所(NIST)発行の電子認証に関するガイドライン「NIST SP800-63」のドラフト版で非推奨という記述が追加されたものの、その後は削除されており、現在も多くのサービスでSMSが活用されているのが実情です。

 その点を踏まえると、「SMS=電話番号」は手元から奪われないようにしなければならない、デジタル時代の重要な身分証明書ともいえるものになります。その意味でも、SIMに関わる操作は慎重に実行する必要があります。

 SIMはスマートフォンの内部に格納されていますが、SIMを取り出す小さな金具さえ持っていれば、盗み出せてしまいます。最近では物理的なものではない「eSIM」の導入も進んできていますが、今回のNTTドコモのアナウンスにもeSIMへの移行に関しての記載はなく、これに完全に移行することも難しいというのが現状でしょう。

 eSIMは通常使用時には何ら問題はないと筆者自身は考えていますが、デバイスの破損や機種変更時などのイレギュラー対応時にさらなるトラブルに発展する可能性があると考えており、今ではメインの電話番号だけは物理的なSIMに戻しています。

 そう考えると、使用中のSIMというものを郵送で取り扱うことも慎重にならざるを得ません。MVNOの一部では使用済みのSIMの返送が必要な事業者もありますが、ITに詳しくない方を含めた場合、それが誰あてであっても、そもそもSIMを郵送してはならないとガイドするのが分かりやすいかもしれません(SIMにパスワードをかける仕組みは存在していますが、これもトラブルの元となりなかなか推奨しづらいです)。

 ほとんどの人にとって、SIMに関しては機種変更でもしない限り、気にしなくていいものであるはずです。今回はイレギュラーが発生したという点で、詐欺師のつけいる隙を与えてしまう可能性があり、それが脅威に発展するかもしれないと感じています。悪いヤツの思考は追いきれるものではないので、筆者には想像できない手法で、あなたのSIMが奪われていくかもしれません。その前に、まず「SIMは他人に触らせない」という前提で動くように、家族にお伝えください。

著者紹介:宮田健(みやた・たけし)

『Q&Aで考えるセキュリティ入門「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q&Aで考えるセキュリティ入門 「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』(エムディエヌコーポレーション)が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ&Aのクイズ形式で楽しく学べる。


Copyright © ITmedia, Inc. All Rights Reserved.