楽天モバイルで「身に覚えのないeSIM再発行」の危険性 緩すぎる2つのプロセスは改善すべき:石野純也のMobile Eye(1/3 ページ)
楽天モバイルで、第三者がeSIMを再発行するというトラブルが起きた。悪意のある第三者がSIMカードやeSIMの情報を盗み取る犯罪は「SIMスワップ」や「SIMハイジャック」などと呼ばれることがあり、世界各国で問題視されている。同社はユーザーにIDのメールアドレスからの変更や、他のサービスとのパスワードの使い回しをやめるよう案内しているが、これで本当に十分な対応といえるのだろうか。
楽天モバイルは、4月23日にあるお知らせをWebサイトに掲載した。タイトルは、「【重要】身に覚えのないeSIMの再発行にご注意ください」。ユーザー自身が気付かない間に、eSIMを再発行され、楽天モバイルの回線を乗っ取られてしまった事例があり、それに対する注意喚起を行った格好だ。悪意のある第三者がSIMカードやeSIMの情報を盗み取る犯罪は「SIMスワップ」や「SIMハイジャック」などと呼ばれることがあり、世界各国で問題視されている。
こうした事例に対し、楽天モバイルはユーザーにIDのメールアドレスからの変更や、他のサービスとのパスワードの使い回しをやめるよう案内している。ただ、これで本当に十分な対応といえるのだろうか。モバイル回線は単に電話やデータ通信をするためだけのものではなく、サービスの認証を担う役割もあるだけに、楽天モバイルにはさらなる対策が求められそうだ。
盗まれたeSIMの情報、他サービスへのログインも可能に
楽天モバイルが明かした事案は、いわゆるSIMスワップと呼ばれるもの。フィッシングなど、何らかの形で楽天IDとそのパスワードを入手した第三者が、ユーザーのアカウントを乗っ取り、eSIMの再発行をかける形で回線そのものを奪った格好だ。SIMカードとは異なり、ネット経由でプロファイルの書き換えるだけで再発行が完了してしまう、eSIMならではの手口といえる。物理的なSIMカードであれば、送付先の住所や名前が違えば受け取れない可能性があるが、eSIMはそのハードルが低くなりやすい。
楽天モバイルの広報部によると、このお知らせは実際に被害にあったユーザーがいたため、掲出したものだという。同社では、「モバイル通信サービスを不正に利用するという事案」と説明しているが、回線を乗っ取られてしまうと、被害は単に音声通話やデータ通信を勝手に使われるだけでは済まない。SMSでユーザーの認証を行う各種サービスに、ログインされてしまうリスクがあるからだ。
楽天モバイルの回線が不正に利用され、追加で通話料が発生する可能性もあるが、同社の「Rakuten最強プラン」はデータ通信料が定額のため、国際電話を長時間かけられるようなことがなければ金銭的な被害は小さい。それ以上に怖いのが、サードパーティーのサービス。登録しているクレジットカードの情報を盗まれたり、サービスを不正に利用して何らかのものを買われたり、さらにはコード決済サービスの残高を盗まれたりといった被害が起こることも十分考えられる。
では、楽天モバイルではどのような対応策を案内しているのか。1つ目は、パスワードの使い回しをやめることだ。また、楽天IDはメールアドレス以外にすることも推奨している。これによって、他のサービスで漏えいしてしまったID、パスワードの組み合わせでログインされるのは防ぐことが可能だ。また、万が一ログインされた際に、すぐにそれを察知できるよう、ログイン通知機能の利用も呼びかけている。
これに加え、楽天ID全体を管理する「my Rakuten」でログイン履歴の確認を行うことが推奨されている。とはいえ、いずれも管理がユーザー任せになっているため、今後も同様の事件が起こる可能性は捨てきれない。多種多様なサービスを利用するにあたり、IDやパスワードを使い回さないのは確かに理想的だが、Webサイトのお知らせで呼びかけたところで、全てのユーザーが変更してくれるわけではない。ログイン履歴を小まめに確認する対策も、手間を考えると現実的とはいえない。
関連記事
- 楽天モバイルのスマホが乗っ取られる事案 同社が回線停止や楽天ID/パスワード変更などを呼びかけ
楽天モバイルは2024年4月23日から、eSIMを不正に利用される事案があったとして、利用者に注意喚起を行っている。eSIM(Embedded SIM)はネットワーク経由で契約者情報(プロファイル)を書き換えたり、プランを変更したりできるのが利点。eSIMの再発行もオンラインで行える場合が多い。 - スマホの新認証方式「パスキー」を徹底解説 今後は“パスワードレス”が当たり前に?
今後、Webサービスから「パスワード」がなくなるかもしれない。今後は「パスキー」に取って代わるかもしれないというのが今回の話題だ。 - ドコモが「パスキー」を導入してフィッシング被害報告が0件に パスワードレス認証の効果
パスワードを使わないパスワードレス認証であるパスキーを推進するFIDO Allianceが現状を説明。既に70億を超えるオンラインアカウントがパスキー利用できる。パスキーを使うことで、例えばGoogleはログイン成功率が4倍になり、ログイン時間が半減したという。 - 「eKYC」「2要素認証」「2段階認証」は万全? スマホ決済や携帯のセキュリティ対策をおさらい
2020年に銀行口座からキャッシュレス決済事業者への不正出金が一斉に判明した問題で、銀行や決済サービス事業者がセキュリティ対策を強化した。その中で、頻繁に話題に出てくるのが「2要素認証」と「2段階認証」、そして「eKYC」だ。不正へのセキュリティ対策として、万全ではないし唯一の解でもないが、各社が採用を進めるこれらの技術についてまとめた。 - eSIM普及の起爆剤に? iOS 16の新機能「eSIM クイック転送」のインパクトと課題
iOS 16の新機能「eSIM クイック転送」を利用すると、新旧のiPhoneがiCloudかBluetoothでつながり、eSIMプロファイルが新しいiPhoneに移ってすぐ通信が可能になる。eSIM クイック転送はキャリアの対応が必要になり、現時点では利用できるキャリアはKDDIと楽天モバイルの2社にとどまっている。今後、この機能は広がっていくのか。
Copyright © ITmedia, Inc. All Rights Reserved.