SIMスワップ詐欺とは？仕組みと対策

SIMスワップ詐欺は、もはや一部の特殊な脅威ではなく、経営層が懸念すべき問題へと変化しています。イギリスでは、2024年に約3,000件のSIMスワップ事例が報告されており、前年のわずか289件から1,055%という驚異的な急増を示しています。これらの攻撃は米国でも蔓延しており、FBIの2023年インターネット犯罪報告書によると、SIMスワップや同様の手口による被害額は約5,000万ドルに達しています。このように被害が急増している現状は、企業のリーダーシップチームがモバイルアカウントの乗っ取りをサイバーセキュリティ防御における最重要課題の一つとして扱わなければならない理由を明確に示しています。

SIMスワップ詐欺（SIMハイジャックまたはポートアウト詐欺とも呼ばれます）とは、被害者の携帯電話サービスを、攻撃者が管理するSIMカードに切り替えさせるアカウント乗っ取りの手口の一種です。SIMカードは、電話番号を音声通話、SMS、データサービスに紐付けるための認証情報を保持しています。犯罪者が通信事業者を騙してその認証情報を新しいSIMに移行させると、被害者のデバイスに一切触れることなく、その電話番号を乗っ取ることができてしまいます。

脅威アクターは通常、カスタマーサポートの担当者をソーシャル エンジニアリングで騙したり、脆弱なセルフサービスポータルを悪用したりします。盗まれた個人を特定できる情報（PII）、偽造されたID、または操作されたディープフェイクを提示して本人確認を通過し、「SIMカードの再発行」または「番号ポータビリティ」を要求します。スワップが完了すると、電話の着信やSMSベースの多要素認証（MFA）コードがすべて攻撃者の端末に届くようになります。攻撃者はこのアクセス権を悪用して、クラウドのパスワードをリセットしたり、銀行口座から預金を引き出したり、ワンタイムパスコードに依存する企業のVPNを迂回したりします。

通信事業者は、転出時の検証プロセスやアカウント固有のPINコードといった安全策を講じていますが、依然として抜け穴は存在します。多くの従業員が今なお多要素認証（MFA）やアカウント復旧にSMSを利用しているため、企業のリーダーはSIMスワップを組織全体のリスクとして捉えるべきです。この手口を理解することが、重要な通信や認証情報を本来の持ち主の手元に確実に保持するための、より強固な対策への第一歩となります。

SIMスワップ詐欺は、デジタルな脆弱性と人間の心理の両方を悪用する、予測可能なシナリオに沿って実行されます。この攻撃の成否は、攻撃者がいかにして通信事業者の従業員を巧みに操り、不十分な本人確認プロセスを悪用できるかにかかっています。

1. 偵察とデータ収集: 攻撃者は、ソーシャルメディアのプロフィール、データ漏洩、またはフィッシング詐欺を通じて、ターゲットに関する個人情報の収集を開始します。氏名、住所、電話番号、アカウントの「秘密の質問」といった情報は、通信事業者とやり取りする際に、本人になりすますために使われます。
2. 通信事業者のソーシャル エンジニアリング: 個人情報を入手した犯罪者は、通信事業者のカスタマーサービスに連絡するか、小売店を訪れてSIMの転送を要求します。彼らは、「電話を紛失した」または「緊急の交換が必要だ」と訴える困窮した顧客になりすまし、人的エラーを悪用します。多くの場合、検証のショートカットが発生しやすい、経験の浅い従業員やプレッシャーの高い状況を標的にします。
3. ポートアウト（番号移行）要求の実行: 担当者の信頼を得ると、攻撃者は被害者の電話番号を、自分が所有する新しいSIMカードに転送するように要求します。一部の犯罪者は、通信事業者の従業員を内部協力者として採用または買収し、顧客アカウントへの特権アクセスを通じて、セキュリティプロトコルを完全に迂回することさえあります。
4. アカウントの乗っ取りと悪用: 被害者の電話番号を制御することで、攻撃者はSMSベースの二要素認証コードとパスワード リセット リンクを傍受します。このアクセスにより、電話ベースの認証に依存するメールアカウント、銀行アプリ、暗号通貨ウォレット、および企業システムを体系的に侵害することが可能になります。

ここで明確にしておくべき重要な点は、「この手口は、標的の電話番号を攻撃者に移行させることで、SMSベースの多要素認証を無力化するものです」という事実です。マシュー・ガーディナー（プルーフポイントのプロダクト マーケティング マネージャー）は述べています。「これを実現するには、脅威アクターは通信事業者をソーシャル エンジニアリングするか、組織内に内部協力者が必要です。」

SIMスワップ詐欺は、個々の消費者だけでなく、主要な企業や政府機関を標的とするように進化してきました。これらの注目を集める事件は、攻撃者がモバイルキャリアの脆弱性を悪用して、いかに経済的な大混乱と組織的な損害を引き起こすかを示しています。

SECのXアカウントへのハッキング（2024年1月）

2024年1月、ハッカーは米国証券取引委員会(SEC)のXアカウントに対してSIMスワップ詐欺を実行し、ビットコインETFの承認に関する偽のニュースを投稿し、ビットコイン価格を一時的に急騰させました。攻撃者は、@SECgovアカウントに関連付けられた電話番号を乗っ取り、二要素認証を迂回し、不正なアクセスを得て、市場を動かす詐欺的なコンテンツを投稿しました。アラバマ州の男性、エリック・カウンシル・ジュニアは、後にこの攻撃における自身の役割について有罪を認め、14か月の懲役刑を受けました。

この事件は、SIMスワップが金融市場を操作し、組織の信頼性を損なう可能性があることを示しました。SECは、重要なソーシャルメディア アカウントに対してSMSベースの二要素認証の代わりにハードウェアベースの認証を実装することで、この攻撃を防ぐことができた可能性があります。この侵害はまた、政府機関が個々の消費者に対して使用されるのと同じソーシャル エンジニアリング戦術に対して依然として脆弱であることを浮き彫りにしました。

T-Mobileの3300万ドルの暗号通貨損失（2025年）

2025年3月、カリフォルニア州の仲裁人は、SIMスワップ詐欺によって泥棒が顧客のウォレットから約3800万ドルの暗号通貨を盗まれた事件を受け、T-Mobileに3300万ドルの支払いを命じました。被害者がアカウントに「追加のセキュリティ対策」を設定していたにもかかわらず、攻撃者はコールセンターの担当者を説得してリモートでeSIMのQRコードを発行させ、T-Mobileの「NOPORT」（ポートアウト禁止）というセキュリティ設定を迂回したのです。この判決は、SIMスワップに関する通信事業者の過失を問うた事案としては、過去最大級の賠償命令の一つとなりました。

この裁定は、SIMスワップ事件における通信事業者の法的責任に関して、新たな判例を打ち立てました。T-Mobileは、高額取引を行うアカウントの重要な変更に際して監督者のみの承認を義務付けたり、「秘密の質問」のような知識ベース認証をより強固な暗号技術によるセキュリティ対策に置き換えたりすることで、この攻撃を防げた可能性があります。この事件は、企業レベルのセキュリティ対策の不備が、いかにして数百万ドル規模の損失と法的な責任問題に発展し得るかを明確に示しています。

SIMスワップによる企業アカウントの乗っ取りは、脅威を飛躍的に増大させ、組織全体に連鎖的な被害をもたらしかねない重大な問題です。攻撃者が従業員や役員を標的にすると、SMSベースの認証に依存する企業のメールアカウント、クラウド アプリケーション、社内システムへのアクセス権を奪い取ります。たった一人の役員の電話番号が乗っ取られるだけで、攻撃者は財務システム、顧客データベース、そして企業の戦略に関わる通信への鍵を手に入れることができてしまうのです。

リモートワーカーは特に深刻なリスクに直面しています。多くの組織が未だにVPNアクセスやクラウドツールにSMSベースの多要素認証を利用しているためです。分散した労働環境では従業員が私物デバイスを業務に利用することも多く、これが従来のネットワークセキュリティ管理を迂回する攻撃経路を生み出しています。リモート勤務の従業員がSIMスワップの被害に遭うと、攻撃者は企業のインフラに一切触れることなく、何千キロも離れた場所から社内ネットワークに侵入することが可能になります。

SIMスワップは、高度なビジネスメール詐欺（BEC）攻撃を可能にするものでもあります。犯罪者は、乗っ取った電話番号を使用して経営幹部のメールパスワードをリセットし、その正規アカウントを利用して請求書詐欺を仕掛けたり、不正な送金を承認したりします。FBIのインターネット犯罪苦情センター（IC3）は、BECが過去10年間で世界の組織に約555億5000万ドルの損害を与え、そのインシデント数は30万5,000件に達しています。

脅威は直接的な金銭的損害にとどまらず、長期的な個人情報窃盗や規制コンプライアンス違反にも及びます。役員の電話番号を掌握した攻撃者は、クラウド アプリケーションに保存されている個人および法人の税務書類、医療記録、機密性の高い顧客情報にアクセスできてしまいます。規制の厳しい業界の組織では、従業員のSIMスワップがデータ侵害やプライバシー違反につながった場合、より強固な認証プロトコルによって防げたはずのインシデントと見なされ、罰金や法的責任を問われる可能性があります。

SIMスワップの防止には、技術的な管理と人的な意識向上を組み合わせた多層的なセキュリティアプローチが不可欠です。熱心な攻撃者に対して完璧な防御を提供する単一の解決策は存在しませんが、戦略的な認証方法の選択と積極的なセキュリティ対策によって、組織はリスクを大幅に低減できます。鍵となるのは、SMSへの依存をなくし、組織のあらゆるレベルでセキュリティ意識の高い文化を醸成することです。

• 可能な限りSMSベースの二要素認証を廃止する: SMSベースの二要素認証を、Microsoft Authenticator、Google Authenticator、Authyなどのアプリベースの認証システムに置き換えます。これらの認証システムは、デバイス上で時間ベースのコードをローカルに生成します。これらのアプリケーションは携帯電話ネットワークに依存しないため、攻撃者に電話番号を乗っ取られたとしても機能し続けます。
• ハードウェアベースのMFAトークンを導入する: YubiKeyなどのハードウェアセキュリティキー、または同様のFIDO2準拠デバイスを高価値アカウントおよび特権ユーザー向けに実装します。ハードウェアトークンは、SIMスワップ詐欺によって傍受または複製できないため、アカウントの乗っ取りに対して最も強力な保護を提供します。
• キャリアレベルのSIM保護とアカウントPINを有効にする: 通信事業者に連絡して、番号転送前に追加の認証を必要とするSIMロック、ポート凍結、またはアカウントレベルのPINコードを追加設定します。これにより、番号の移行前に追加の本人確認が必須となります。担当者にはこれらのセキュリティ対策を記録に残すよう依頼し、リスクの高いアカウントのSIM関連の変更には監督者の承認を必須とするよう要求しましょう。
• 包括的なセキュリティ意識向上トレーニングプログラムを実施する: SIMスワップ詐欺で使われるソーシャル エンジニアリングの手口について従業員を教育し、アカウントサポートのやり取りにおける本人確認の明確な手順を確立します。定期的なトレーニングは、従業員が詐欺的な操作を見抜くのに役立ち、彼らが攻撃に対する「人的なファイアウォール」として機能する、セキュリティ意識の高い労働力を育成します。
• 不正な変更や疑わしいアクティビティについてアカウントを監視する: パスワードのリセット、新しいデバイスのログイン、およびすべての重要なビジネスアプリケーションにおける認証方法の変更に関するアラートを設定します。アカウント侵害の早期発見は、被害を限定し、インシデント対応チームのためのフォレンジック証拠を確保できます。
• 幹部向けのバックアップ通信チャネルを作成する: 安全なメッセージングアプリや専用の固定電話など、主要な電話番号に依存しない、上級管理職向けの代替連絡方法を確立します。これらのバックアップチャネルは、攻撃中に主要な携帯電話番号が侵害された場合に、事業継続性を確保します。

攻撃者は、セキュリティ対策を回避するために、常に技術を進化させていることを忘れないでください。人間の警戒心と定期的なセキュリティ評価は、SIMスワップおよび関連するソーシャル エンジニアリング攻撃に対する最も効果的な防御策です。

SIMスワップ詐欺は、根本的に人間の心理と組織の弱点を突くものであるため、テクノロジーだけでこの問題を解決することはできません。効果的な防御を構築するには、組織は技術的な管理と同じだけ、人的な意識向上にも投資する必要があります。

• SIMスワップ詐欺に特化したセキュリティ意識向上トレーニングを実施する: 四半期ごとのトレーニングを実施し、従業員がソーシャル エンジニアリング攻撃の警告サインを認識できるようにします。これには、予期しないアカウント確認の電話や、通信事業者の代表を装った緊急の情報要求が含まれます。
• SIMスワップ詐欺で使用されるソーシャル エンジニアリング手法を特定し、報告するようスタッフを訓練する: 攻撃者が携帯電話会社や組織内でセキュリティ手順を迂回するために用いる、なりすまし、緊急性の演出、権威の悪用といった一般的な心理操作のテクニックについて従業員を教育します。
• サイバーセキュリティが全従業員の責任であるという当事者意識の文化を育む: 全従業員を組織資産保護のステークホルダーとする明確なセキュリティポリシーを確立します。また、経営層からセキュリティの優先事項について定期的に情報発信を行い、積極的なセキュリティ行動を評価する表彰制度などを設けます。
• モバイルアカウント侵害に対応するインシデント対応プロトコルを作成する: 電話番号が侵害された疑いがあるときに従業員が従う明確な手順を策定します。これには即時の通知チャネルや、さらなる被害が発生する前に関連アカウントを保護するためのステップが含まれます。
• 高価値ターゲットを保護するエグゼクティブ セキュリティ プログラムを確立する: 経営幹部やその他のハイリスクな人員のために、専任のセキュリティ担当者の配置や、新たな攻撃手口に関する定期的な脅威ブリーフィングなど、強化されたセキュリティ対策を実施します。
• 技術的および人的な脆弱性を評価する定期的なセキュリティ評価を実施する: ソーシャル エンジニアリングに対する従業員の対応をテストするレッドチーム演習を定期的に実施し、現在のセキュリティ意識向上プログラムの有効性を評価します。
• 人事、IT、広報を含む部門横断的なセキュリティチームを構築する: サイバーセキュリティの人的要素に対応できる協働的なセキュリティ委員会を設置します。これにより、採用、オンボーディング、継続的な社員教育のプロセスにセキュリティ意識を組み込みます。

最も効果的なSIMスワップ対策は、堅牢な技術的管理と、組織資産を守る上での自らの役割を理解しているセキュリティ意識の高い従業員とを組み合わせることで実現します。人的な警戒心こそが、技術的な安全策が破られたり、攻撃者がシステムの新たな脆弱性を見つけ出したりした際の、最後の重要な防衛線となります。

SIMスワップ詐欺が成功するのは、技術的な管理の甘さと人間の心理が交差する点を悪用するからです。攻撃者は、銀行口座から預金を抜き取ったり、企業のネットワークに侵入したりするために、高度なハッキングスキルを必要としません。通信事業者の従業員一人を説得して電話番号を移行させるだけで十分です。この攻撃の単純さこそが、重要な業務システムをSMSベースの認証に依存している組織にとって、特に危険な脅威となる理由です。

幸いなことに、SIMスワップは、積極的なセキュリティ対策によって完全に防止できます。SMSベースの二要素認証を排除し、ハードウェア セキュリティキーを実装し、セキュリティ意識向上トレーニングに投資する組織は、この脅威を効果的に無効化できます。重要なのは、モバイルセキュリティがもはや周辺的な懸念事項ではなく、エンタープライズ サイバーセキュリティ戦略の中核的な要素であることを認識することです。

今こそ、現在の多要素認証ポリシーと従業員トレーニングプログラムを見直す時です。自問してみてください。「あなたの会社の役員は、クラウド アプリケーションへのアクセスに未だSMSコードを使用していませんか？」「従業員は、自分のモバイルアカウントを標的としたソーシャル エンジニアリングの試みを見抜く方法を知っていますか？」これらの問いに対する答えが、あなたの組織のSIMカードが脆弱性のままであり続けるか、それともセキュリティ基盤の一部となるかを決定します。

プルーフポイントの包括的なセキュリティプラットフォームは、SIMスワップ詐欺を可能にする人中心の脆弱性に、高度な脅威検知とセキュリティ意識向上ソリューションを通じて対処します。私たちのアプローチは、リアルタイムの脅威インテリジェンスと従業員トレーニングプログラムを統合し、組織がソーシャルエンジニアリングの試みをアカウント乗っ取りに発展する前に認識し、対応できるよう支援します。サイバーセキュリティにおける技術的要素と人的要素の両方に焦点を当てることで、私たちは、SIMスワップや、あらゆるセキュリティチェーンの最も弱い環である「人」を標的とする、その他の巧妙なソーシャルエンジニアリング攻撃に対して、企業が強靭な防御を構築できるよう支援します。詳細については、ぜひお問い合わせください。