楽天モバイルで「身に覚えのないeSIM再発行」の危険性 緩すぎる2つのプロセスは改善すべき：石野純也のMobile Eye（1/3 ページ）

[石野純也，ITmedia]

　楽天モバイルは、4月23日にあるお知らせをWebサイトに掲載した。タイトルは、「【重要】身に覚えのないeSIMの再発行にご注意ください」。ユーザー自身が気付かない間に、eSIMを再発行され、楽天モバイルの回線を乗っ取られてしまった事例があり、それに対する注意喚起を行った格好だ。悪意のある第三者がSIMカードやeSIMの情報を盗み取る犯罪は「SIMスワップ」や「SIMハイジャック」などと呼ばれることがあり、世界各国で問題視されている。

楽天モバイルは、身に覚えのないeSIMの再発行を注意するお知らせを23日に掲出した

　こうした事例に対し、楽天モバイルはユーザーにIDのメールアドレスからの変更や、他のサービスとのパスワードの使い回しをやめるよう案内している。ただ、これで本当に十分な対応といえるのだろうか。モバイル回線は単に電話やデータ通信をするためだけのものではなく、サービスの認証を担う役割もあるだけに、楽天モバイルにはさらなる対策が求められそうだ。

盗まれたeSIMの情報、他サービスへのログインも可能に

　楽天モバイルが明かした事案は、いわゆるSIMスワップと呼ばれるもの。フィッシングなど、何らかの形で楽天IDとそのパスワードを入手した第三者が、ユーザーのアカウントを乗っ取り、eSIMの再発行をかける形で回線そのものを奪った格好だ。SIMカードとは異なり、ネット経由でプロファイルの書き換えるだけで再発行が完了してしまう、eSIMならではの手口といえる。物理的なSIMカードであれば、送付先の住所や名前が違えば受け取れない可能性があるが、eSIMはそのハードルが低くなりやすい。

my楽天モバイルから、eSIMの再発行ができる。楽天IDとパスワードがあればここに入れてしまう

　楽天モバイルの広報部によると、このお知らせは実際に被害にあったユーザーがいたため、掲出したものだという。同社では、「モバイル通信サービスを不正に利用するという事案」と説明しているが、回線を乗っ取られてしまうと、被害は単に音声通話やデータ通信を勝手に使われるだけでは済まない。SMSでユーザーの認証を行う各種サービスに、ログインされてしまうリスクがあるからだ。

　楽天モバイルの回線が不正に利用され、追加で通話料が発生する可能性もあるが、同社の「Rakuten最強プラン」はデータ通信料が定額のため、国際電話を長時間かけられるようなことがなければ金銭的な被害は小さい。それ以上に怖いのが、サードパーティーのサービス。登録しているクレジットカードの情報を盗まれたり、サービスを不正に利用して何らかのものを買われたり、さらにはコード決済サービスの残高を盗まれたりといった被害が起こることも十分考えられる。

SMSに飛んだ認証コードだけでログインできてしまうサービスも多い。この場合、eSIMを乗っ取られるだけで、他のサービスまで使われてしまう

　では、楽天モバイルではどのような対応策を案内しているのか。1つ目は、パスワードの使い回しをやめることだ。また、楽天IDはメールアドレス以外にすることも推奨している。これによって、他のサービスで漏えいしてしまったID、パスワードの組み合わせでログインされるのは防ぐことが可能だ。また、万が一ログインされた際に、すぐにそれを察知できるよう、ログイン通知機能の利用も呼びかけている。

お知らせでは、被害を防ぐための方法も案内されているが……

　これに加え、楽天ID全体を管理する「my Rakuten」でログイン履歴の確認を行うことが推奨されている。とはいえ、いずれも管理がユーザー任せになっているため、今後も同様の事件が起こる可能性は捨てきれない。多種多様なサービスを利用するにあたり、IDやパスワードを使い回さないのは確かに理想的だが、Webサイトのお知らせで呼びかけたところで、全てのユーザーが変更してくれるわけではない。ログイン履歴を小まめに確認する対策も、手間を考えると現実的とはいえない。