楽天モバイルで「身に覚えのないeSIM再発行」の危険性 緩すぎる2つのプロセスは改善すべき：石野純也のMobile Eye（2/3 ページ）

楽天モバイルで、第三者がeSIMを再発行するというトラブルが起きた。悪意のある第三者がSIMカードやeSIMの情報を盗み取る犯罪は「SIMスワップ」や「SIMハイジャック」などと呼ばれることがあり、世界各国で問題視されている。同社はユーザーにIDのメールアドレスからの変更や、他のサービスとのパスワードの使い回しをやめるよう案内しているが、これで本当に十分な対応といえるのだろうか。

[石野純也，ITmedia]

緩いeSIM再発行の2段階認証、メールアドレスの変更も可能

　一方で、楽天モバイルもeSIMの再発行には、my楽天モバイルへのログイン以上のセキュリティをかけている。当初は、ボタンをクリックしていくだけでできたeSIMプロファイルの再発行だが、現在は、登録したメールあてにワンタイムパスワードが送付される仕様になっており、my楽天モバイルにログインできたからといって、eSIMプロファイルの再発行がすぐにできてしまうわけではない。

eSIMの再発行をするには、登録済みのメールに送られてきたワンタイムパスワードの入力が必要になる

　また、登録したメールアドレスを変更する際にも、変更前のメードアドレスに送られたワンタイムパスワードの入力が必要になる。フィッシングなどでメールのアカウントを不正に入手されれば突破されてしまうものの、楽天IDとパスワードが漏えいしただけでは、eSIMプロファイルの再発行はできない……と言いたいところだが、必ずしもそうではないことが分かった。

登録したメールアドレスの変更にも、ワンタイムパスワードの入力は必要。メールアドレスまで盗み取っていなければ、変更は難しいように見えるが……

　実は、メールアドレスの変更は、オペレーターにチャットで依頼してもできてしまう。筆者が試した際に聞かれたのは、氏名や電話番号など、いずれもmy楽天モバイルに記載されている情報。やりとりが終わると、楽天モバイル側から強制的にメールアドレスが変更され、ワンタイムパスワードの入力は省略できた。

　これは、変更前のメールアドレスがサービス停止などで利用できなくなってしまった場合の措置だが、そのように偽ることでeSIMプロファイルの再発行に必要なワンタイムパスワードが送られてくるメールアドレスを変更ができてしまいかねない。

変更前のメールアドレスが利用できない場合、オペレーターがワンタイムパスワードなしで変更をかけられる。筆者も試してみたが、簡単な本人確認の情報で新しいメールアドレスに変えることができた。本当にメールが受信できないときは便利だが、セキュリティの穴になりそうだ

　あとは、普段通りの手順でeSIMプロファイルを発行するだけで済む。my楽天モバイルを突破されてしまえば、eSIMプロファイルの再発行は容易というわけだ。my楽天モバイルを家、eSIMプロファイルを金庫にしまった財産とするならば、合鍵の作製が比較的容易な玄関の中に、金庫を解錠するためのヒントをちりばめているようなもの。玄関を突破されれば、中の金庫も比較的空けやすい状態だったといえる。

　少なくとも、メールアドレス変更の際には、より本人確認を厳しくする必要がある。楽天モバイルによると、「eSIM再発行のお手続きをしていただいたお客さまには、当社より確認のご連絡をさせていただく場合や、eSIMの再発行を保留させていただく場合がある」というものの、この措置が発動する基準は不明。100％防げるかどうかの保障はなく、怪しい動作として検出されなければ、突破されてしまう恐れもありそうだ。