スマホ本人確認「マイナカード一本化」は本当？ 実情とSIMスワップ詐欺問題を知る（1/3 ページ）

[島徹，ITmedia]

　6月18日に「国民を詐欺から守るための総合対策」の報道で、「スマホ本人確認をマイナンバーカード一本化」という実際の施策とは異なるタイトルの話題が盛り上がった。5月には「偽造マイナンバーカード」を用いた「SIMスワップ」と呼ぶ手法で他人のスマートフォンの電話番号（SMS）を乗っ取り不正決済に利用される事件も話題になった。

「スマホ本人確認をマイナンバーカード一本化」報道のもとになった政府の「国民を詐欺から守るための総合対策」の概要では、赤線のように「マイナンバーカード“等”」となっている。後述するが、これはICチップを搭載する運転免許証や在留カードなども含む。「原則一本化」は法律上の本人確認方法が券面の提示のみという偽造に弱い状況を一新し、ICチップでの真贋確認を義務付けることを意味する

5月には偽造マイナカードを用いた「SIMスワップ詐欺」が話題になった。偽造の本人確認書類で他人のSIMカードを再発行して乗っ取り、不正にショッピングや送金に使う行為だ（警察庁：本人確認書類の偽変造等の実態）

　いずれも、報道の「マイナンバーカード」という単語だけが注目され、SNSでも実際の施策内容や実態と懸け離れたコメントが多く見られた。

政府の「国民を詐欺から守るための総合対策」では、偽造の本人確認書類で不正契約した「飛ばし携帯」による投資詐欺やロマンス詐欺、SMSやメールで送られる偽サイトからアカウントを乗っ取る「フィッシング詐欺」などへの対抗手段の1つとして、契約時の本人確認をマイナカードや運転免許証のICチップを用いて強化しようとしている

　「SIMスワップ詐欺」と「マイナカードなども活用した本人確認の厳格化」の話題で共通しているのは、「2020年代のスマホはショッピングや決済、資産管理の中心にあり、スマホの電話回線契約やアカウントを狙う詐欺が増加している」という点だ。従来の携帯電話を使った詐欺といえば、架空契約した「飛ばし携帯」でのオレオレ詐欺や投資詐欺、ロマンス詐欺が中心だ。だが、2020年代になりスマホでの決済や資産管理の利用が増えたことから、「フィッシング詐欺」や「SIMスワップ詐欺」でアカウントや携帯電話回線を乗っ取って不正決済や送金に利用する詐欺が増えている。

スマートフォンには、携帯電話会社の契約者情報の入った「SIMカード」が入っている（データをスマホに書き込むeSIMもある）。このICカードに携帯電話会社の電話番号やSMS、データ通信プランを利用するための情報が入っている。このSIMカードを偽造した本人確認書類で再発行し、電話番号や契約を乗っ取るのがSIMスワップ詐欺だ

　そこで、政府をはじめ総務省、警察庁は詐欺や不正契約への根本的な対策として、2006年の法律に基づく本人確認方法にある「本人確認書類の提示と目視」を見直し、マイナンバーカードや運転免許証などの「ICチップを用いたより確実な真贋確認の義務化」の施策に向け動いている。もちろん、既に携帯電話事業者や携帯電話ショップも現在の法の規定の範囲で対策を講じているが、ICチップの真贋確認などを義務化することでより確実に穴をふさぐことができる。

真贋確認にICチップを利用するシステムは2010年代から存在する（画像はDNPアイディーシステム：「ID確認システムPRO」）

　この記事ではSIMスワップ詐欺の話題をもとに、その手口や技術、本人確認に関する法に関する基本的な部分から、現在進んでいる政府・国の動きまでを紹介していく。

詐欺の実行者は「フィッシング詐欺」＋「SIMスワップ詐欺」で金銭を狙う

　SIMスワップ詐欺の前に、まず「フィッシング詐欺」について知ろう。近年急増している、SMSやメールで偽物のショッピングサイトや銀行などのサイトに誘導し、「利用情報の更新が必要」といった理由で「個人情報や電話番号、ID、メールアドレス、パスワード」などを入力させるものだ。

　詐欺の実行者はこの方法で得た情報をもとに、被害者のショッピングサイトや銀行口座、クレジットカード、コード決済、仮想通貨などのサイトに不正ログインし、換金可能な品の購入といった不正利用や不正送金を実行する。

「フィッシング詐欺」は、SMSやメールで「ショッピングサイトの情報更新」といった理由で偽サイトに誘導し、個人の各種情報を入力させる。例は「Amazonの情報更新を求める偽メール」だが、携帯電話会社や銀行、クレジットカード、運送会社、電力会社などさまざまなパターンがある

　だが、近年は多くのサービスがログイン時に「電話番号（SMS）によるコード認証」を用いた2要素認証を求めており、IDとパスワードだけではログインできなくなりつつある。

近年のWebサービスは、ログイン時や重要な手続きの際に「電話番号（SMS）によるコード認証」を求めることが多い。詐欺の実行者はこれを突破するためにSIMスワップ詐欺で電話回線を乗っ取ろうとする

　そこで「SIMスワップ詐欺」だ。まず、詐欺の実行者はターゲットを決めて偽の本人確認書類を作成する。次に、携帯電話ショップの窓口を偽の本人確認書類でだまし、SIMカードの再発行など、SIMカードの発行が必要な手続きを実施して携帯電話回線を乗っ取る。あとは、被害に気付かれる前に各サイトの電話番号（SMS）によるコード認証を突破して不正利用や不正送金を実行する。

偽造の身分証明書を用いたSIMスワップ詐欺（警察庁：本人確認書類の偽変造等の実態）

　SIMスワップ詐欺の特徴は、警察庁の資料によると手間とリスクの問題か件数は少ないが、ターゲットを絞っているからか1件あたりの被害額は大きいようだ。対策としては、携帯電話事業者の本人確認や、本人確認書類の真贋確認を厳格化するしかない。携帯電話事業者やショップが独自に対応を進めても、少しでも穴があると被害を防げないからだ。

フィッシング詐欺などと比べると、SIMスワップ詐欺は本人確認の強化により減少傾向にある。だが、発生件数の少なさに対して被害額が大きい（警察庁：令和5年におけるサイバー空間を巡る脅威の情勢等について）

　なお、SIMスワップ詐欺の被害を受けると、その後の対応が難しい。まず利用者のスマホが携帯電話ネットワークにつながらなくなるが、この時点では通信障害やスマホの故障といった可能性もあり原因を断定できない。そこで携帯電話会社へ問い合わせるのだが、電話回線を利用できないので本人確認書類を持って携帯電話会社のショップで直近の手続きを調べる必要がある。実際に被害を受けた場合は警察での手続きはもちろん、利用している各ショッピングサイトや銀行、クレジットカード会社の被害状況の確認と停止も必要だ。