楽天モバイルで「身に覚えのないeSIM再発行」の危険性　緩すぎる2つのプロセスは改善すべき：石野純也のMobile Eye（3/3 ページ）

手続きがより厳格な競合他社、楽天モバイルも見直しの時期か

　他社の場合、eSIMを再発行する前に利用中の回線にSMSで認証コードが飛ぶケースが多い。ソフトバンクのLINEMOは、認証コードの送付先としてSMSだけでなく、メールでの受信も選択できたが、登録済みのメールアドレスを変更するには契約している回線からのアクセスが必要だった。メールサービスまで乗っ取られていたケースだと被害は発生しそうだが、少なくとも、変更のハードルは高くしていることが分かる。

　また、auでは利用中の端末が故障した場合、eSIMプロファイルを誤って削除してしまった場合に限り、eKYCを活用した本人確認が求められる。いずれも、端末の故障やeSIMプロファイルの誤削除などで、SMSを受信できなくなってしまうとハードルが上がり、手間も増えてしまうものの、楽天モバイルのそれよりも仕組みとして安全側に倒した運営をしているのは間違いない。

　その分だけ、本当に機種変更でeSIMのプロファイルを移行させたいときに手間がかかってしまうのは事実だが、キャリアと端末メーカーやプラットフォーマーの協力により、徐々にそれも解消されつつある。現状では、iPhone同士であればeSIMクイック転送を利用でき、大手キャリア4社はサブブランドやオンライン専用ブランドまで含めてこれに対応する。

　Androidは現時点でGalaxyとPixelに限定されるが、ドコモが「Android eSIM転送」を提供している。AndroidのeSIM転送は、2023年のMWC BarcelonaでGoogleが発表したもので、GSMAの業界標準に準拠した仕組み。当のGoogleや、Googleとの距離を縮めているサムスン電子がいち早くこれに対応したが、標準仕様が策定されているだけに、他のメーカーやドコモ以外のキャリアへの広がりも期待できる。完璧ではないものの、契約情報を管理するサイトから再発行する必要性は低くなりつつある。楽天モバイルも、eSIM再発行のプロセスを見直す時期に来ているといえそうだ。

　それ以前に、my楽天モバイルへのアクセスが緩すぎる点も気になっている。仮にeSIMの再発行を防げたとしても、my楽天モバイルに入られた段階で本名はもちろん、電話番号、住所、職業、生年月日などの個人情報が筒抜けになってしまう。「最強家族プログラム」を組んでいた場合、家族の名前や電話番号も簡単に表示できる。こうした情報が集約されているサイトにアクセスするための認証システムがIDとパスワードだけというのは不十分だ。

　例えば、ドコモの場合、端末に暗号化した秘密鍵を持たせるパスキーを利用すると、アカウントにログインする際のパスワードを無効化できる。KDDIのau IDも同様だ。こうした対策がしてあれば、IDとパスワードの流出をきっかけとした不正ログインはほぼできなくなる。いずれも、Android端末だとGoogleアカウントを通じた同期ができないなど、課題も残されているが、楽天モバイルのそれより安全性が高いのは事実だ。楽天IDにはさまざまなサービスがひも付いているだけに、セキュリティ強化の動きに期待したい。