ヤフーは2022年10月18日、同社が運営するYahoo!ニュースにおいて、コメント欄の投稿に携帯電話番号の登録を必須とする方針を明らかにしました。
同サービスは既に、認証強化に向けて新規ID登録時に携帯電話番号の登録を必須化しています。ヤフーはこれに加えて、不適切な投稿を繰り返すユーザーのうち、5割以上が携帯電話番号を登録していないという状況を踏まえて今回の変更に至ったと説明しています。
現代において、携帯電話番号とスマートフォンの組み合わせは本人確認の重要な“要素”で、特にスマートフォンは新たな本人確認デバイスとして今や必要不可欠です。
例えばセキュリティ強化を目的とする「多要素認証」は利用者の「知識情報」「所持情報」「生体情報」のうち、2つ以上を組み合わせます。記憶に頼るパスワードは「知識情報」ですが、使い回しや漏えいによってもはやこれだけに頼るのは危険です。そのため、かつてのワンタイムパスワードは専用のトークンを物理的に配布し、これを「所持情報」として多要素認証を実現していました。今ではこれをスマートフォンのアプリとして配布し、個人を特定するものとして電話番号が利用されています。
日本で流行の兆しをみせる「SIMスワップ」に要注意 その実態とは?
しかし最近、こうしたスマートフォンでの認証方式を脅かす非常に悩ましい事件が日本で発生しました。2022年10月16日に神戸新聞が発表した記事によると、この事件の被害者は現金約1千万円の出金被害に遭ったとされています。
ざっくりと解説するとこの事件は、犯人グループが勝手にMNP(番号ポータビリティ制度)で被害者のスマートフォンを解約して電話番号を奪い、奪った電話番号を使って銀行のオンラインバンキングに不正ログインし、1千万円を不正送金したというものです。
この事件の恐ろしさは、本人確認の重要な要素である「電話番号」が気付かないうちに奪われていたところにあります。さまざまなサービスで電話番号を登録した結果、SMSで確認コードが送られてきたり、金融機関などから自動音声の電話がかかってきたりといった経験を持つ読者の方も多いはずです。しかしそれらは全て「電話番号の管理者が本人である」という前提で成立するものでしょう。それが手元になく、気が付いたら解約されている状況は現代社会では非常に致命的だと言えます。
近年は、各携帯電話事業者でMNPに必要な手続きを簡単に実行できるようになっています。ほぼ全ての携帯電話事業者でWebからMNP予約番号を取得できるので、Web管理画面にアクセスできるID(多くは公知のメールアドレス)とパスワードが分かればMNPに必要な情報は全てそろいます。
つまりMNP予約番号と偽の本人確認書類があれば、勝手に別の携帯事業者にポートインして携帯電話番号を奪えます。このような“攻撃”手法は数年前から海外で目立っており「SIMスワップ」などと呼ばれて注意喚起されてきましたが、ついに日本でもこれが流行し始めたと言えるでしょう。
電話番号を奪われるのは現代では致命的なリスク
SIMスワップによって電話番号を奪われることは、通話ができないだけでなく、現在のインターネットにおける本人確認の仕組みであなたのデジタルアイデンティティーが奪われることに他なりません。
インターネットを経由した本人認証では、現実世界での存在を裏付けるものを何かしら利用しますが、電話番号が奪える上に免許証を偽造できてしまうと大前提が覆ってしまうわけです。この点においては米国国立標準技術研究所(NIST)が公開する「Electronic Authentication Guideline」(電子的認証に関するガイドライン)の第3版(NIST SP 800-63-3)で、Identity Assurance Level(IAL)やAuthenticator Assurance Level(AAL)としてそのレベルが定義されています。
今「マイナンバーカード」が注目されているのは、本人認証を単なる券面表示確認ではなく、市役所などで対面で本人確認した上でマイナンバーカードを発行し、それに含まれる電子証明書によりデジタル的な署名ができるからです。現時点では多くのオンライン本人確認システム(eKYC:electronic Know Your Customer)で免許証などの画像を確認するにとどまっていますが、今後は、よりレベルの高いデジタルアイデンティティー確認が必要となるかもしれません。
SIMスワップは、ユーザー側で対策をほとんど打てないのも大きな問題です。例えばMNPをロックする仕組みを導入したとしても、そのロックを外すためのハードルを相当高くしなければ無意味になってしまいます。また、携帯電話事業者や銀行のID/パスワードを変更しても、SMSや電子メールでパスワードを初期化されてしまえば対策にはなりません。
事後対策としては、あなたの携帯電話が急に利用できなくなった場合、周囲の通信状態を確認して携帯事業者の通信障害を疑いつつ、自分だけが通話、通信できなかったらSIMスワッピングが実行されているかもしれないと警戒してください。
自分だけが通信できなかったとしたら、金融機関に問い合わせて「電話番号が奪われているかもしれない」と伝える必要があるでしょう。もしかすると「電話番号を持っていない=本人ではない」と判断されるかもしれません。その意味でも、多くの人に今回のような「電話番号が奪われる」という事態が現実に起き得ることを知っておいてほしいと思います。
本件は決定的な対策がない以上、まずは「知る」ことが第一の対策になると思っています。これが一般的な攻撃手法にならないことを祈っています。
引用元:気付かないうちに電話番号を盗まれる「SIMスワップ」が日本で本格化? 対策を考える【訂正あり】:半径300メートルのIT - ITmedia エンタープライズ
