ブログのネタが思いつかないので、手抜きをする。
先日、Geminiにも使われていたモデルGemma4というモデルをGoogleが公開した。
そこでGemma4に最近、特に問題になっているSIMスワップという詐欺というか乗っ取り手法について聞いてみた。
表示がおかしくなるので引用にしないが勘弁してほしい。
google/gemma-4-26b-a4bというモデルだ。
引用始め
「SIMスワップ(SIM Swapping)」とは、攻撃者が被害者の電話番号を、自分(攻撃者)が用意した新しいSIMカードに不正に紐付け直す(切り替える)ことで、被害者の携帯電話の通信権限を乗っ取る手法のことです。
単なる情報の盗難ではなく、「電話番号そのものを奪い取る」ことが最大の特徴であり、これにより、SMS(ショートメッセージ)を使った二段階認証などのセキュリティを無効化できてしまう非常に強力で危険な攻撃です。
以下に、具体的な手口、被害のプロセス、および対策を詳しく解説します。
1. SIMスワップの具体的な手順(メカニズム)
攻撃者は、技術的なハッキングだけでなく、主に「ソーシャルエンジニアリング(人間心理の隙を突く手法)」を利用します。
ステップ1:情報の収集(ターゲットの特定)
まず、攻撃者は標的となる人物の個人情報を集めます。フィッシング詐欺、過去のデータ流出、SNSからの公開情報などを用いて、以下の情報を揃えます。 * 氏名、電話番号、住所 * 生年月日 * (場合によっては)クレジットカード番号や、契約している通信キャリアの情報
ステップ2:通信キャリアへのなりすまし(偽装)
ここが核心部分です。攻撃者は収集した情報をもとに、携帯電話会社(ドコモ、au、ソフトバンクなど)のカスタマーサポートに連絡します。 * 口実: 「スマートフォンを紛失した」「SIMカードが壊れて使えなくなった」と嘘をつきます。 * なりすまし: 攻撃者は被害者の個人情報を使って「本人であること」を証明しようと試みます。
ステップテル:SIMの再発行・切り替え指示
カスタマーサポートが攻撃者を本人だと信じてしまうと、攻撃者が持っている新しい(空の)SIMカードに対して、被害者の電話番号を割り当てる手続きが行われます。この瞬間、被害者のスマホは圏外になり、攻撃者のスマホに被害者の電話番号が紐付けられます。
ステップ4:アカウントへの侵入
電話番号を奪った攻撃者は、ターゲットの重要アカウント(銀行、メール、SNS、仮想通貨取引所など)に対して「パスワードを忘れた」という操作を行います。 * 多くのサービスでは、本人確認のために「登録済みの電話番号にSMSで認証コードを送る」仕組みになっています。 * 攻撃者の手元には被害者の電話番号が届くため、認証コードを読み取ることができ、アカウントのパスワードをリセットし、完全に乗っ取ることができます。
2. なぜこの攻撃が恐ろしいのか?(被害の深刻さ)
- 二段階認証が無効化される: 「SMSによる二段階認証」は、電話番号さえ奪われれば無力です。
- 連鎖的な乗っ取りが可能: メールアドレスを乗っ取られると、そのメールに紐付いたすべてのサービス(ネット銀行、Amazon、Apple IDなど)への侵入の足がかりになります。
- 気づきにくい: ユーザーが「スマホが急に圏外になった」ことに気づいても、通信障害だと思ってしまい、攻撃が進んでいることに気づくのが遅れがちです。
3. 防御策・対策
SIMスワップを防ぐためには、「電話番号に依存しすぎないセキュリティ」を構築することが重要です。
【ユーザーができること】
- SMS認証を避ける: 最も効果的な対策です。可能であれば、SMSではなく、以下の方法で二段階認証を設定してください。
- 認証アプリ(Google Authenticator, Authy など): 物理的な電話番号に依存せず、デバイス内のコードを使用するため、SIMスワップの影響を受けません。
- 物理セキュリティキー(YubiKey など): 最も強固な方法です。
- パスワードマネージャーの利用: 強力で固有なパスワードを使い、一つのアカウントが突破されても連鎖しないようにします。
- 個人情報の露出を減らす: SNSなどで電話番号や、本人確認に使われそうな情報(生年月日など)を公開しないようにします。
- 通信異常に敏感になる: 突然「圏外」になったり、SIMカードの再発行通知が届いたりした場合は、すぐに通信キャリアへ連絡して状況を確認してください。
【通信キャリア・サービス側の対策】
- 本人確認の厳格化: SIMの切り替え手続きにおいて、より高度な認証(生体認証や、事前に登録された別の連絡先への確認など)を導入すること。
- 異常検知: 短時間での大量のSIM再発行要求などの不審な動きを検知するシステムの構築。
まとめ
SIMスワップは、「電話番号を信頼の基点(Root of Trust)にしている」という現代のセキュリティの弱点を突いた攻撃です。これに対抗するには、「SMS認証からの脱却」が最も現実的で強力な防御手段となります。
引用終わり
フィッシング詐欺やソーシャルエンジニアリングもあるが、Amazonの外国系企業の出品物(日本に住所をおいている架空の日本企業を名乗っている外国系の人たちもいる)を注文したり、TemuやQoo10などのサイトで買い物をしたりすると、住所氏名メールアドレス電話番号が知られてしまうので、それを使う場合もあるかもしれない。
他の詐欺では実際に、それらの情報がつかわれているようである。
最近はパスワードを使わないSMS認証を義務付けているサービスが多いが、SIMスワップをされるとパスワードも入力せずにアカウントを乗っ取られてしまう。
だから、本来はパスワードを入力させた後、SMSでパスコードを送って認証する二段階認証にするべきだと思う。
本当はパスキー認証のほうがいいのだろうが、PCだけでログインできないとか(これはSMSの二段階認証でも一緒だが)、スマホなどの機種変更やPCのOSをまるごと再インストールすることになったときになどに問題が起こることがあるので、私は使っていない。
滅多なことでは、SIMスワップの被害に会うことはないと思うが、もし何かあったときにはほぼ取り返しがつかないところが恐ろしいところである。
話は変わるが、ネットにつないでいない状態で、これだけの詳しい情報が出てくるのは本当にすごいことだと思う。
ローカルAIの時代は来ているなと感じる。
普遍的な理論とか一般的な常識のようなものはほぼ間違いない情報が出るのではないか?
ただし、前にも記事にしたように個人情報、例えば著作物の作者、逆にある人物が書いた著作物、誕生日などの情報には弱い。
弱いだだけでなくわからないと答えずに、ウソの情報をさも本当のように出力して、間違いを指摘しても小さな訂正で大元の間違いを認めないなどの態度を取ることがある。
