SIMスワップ詐欺

SIMスワップ詐欺（SIMハイジャック、SIMポーティング詐欺とも呼ばれる）は、犯罪者がキャリアや販売店を騙して被害者名義のSIMカード（または eSIM）を不正に再発行させ、被害者の電話番号を自分の端末で使えるようにする詐欺手口です。一度電話番号を奪われると、SMSで届くワンタイムパスワード（2段階認証コード）が全て犯罪者に届くようになり、銀行・証券・SNS・暗号資産取引所・クラウドメールなど、SMS認証を使うサービスが次々と乗っ取られる連鎖被害が発生します。

犯罪者の典型的な手口は、①SNS・フィッシング・情報漏洩などから被害者の氏名・生年月日・住所・本人確認書類画像を入手、②偽造運転免許証等を作成、③キャリアショップまたはオンラインで『機種変更・SIM再発行』を申し出、④店員が本人確認に騙されSIM再発行、⑤瞬時に電話番号が犯罪者端末へ移行、⑥SMS認証を乗っ取って各種サービスへ侵入、⑦銀行残高や暗号資産を即座に外部送金、という流れです。

日本国内でも2022〜2025年にかけて被害が激増し、警察庁統計では年間数百件の被害報告、1件あたりの平均被害額は数百万円〜数千万円に達します。2023年の大手通信キャリアへの不正再発行で数億円の仮想通貨流出事件、2024年のeSIMオンライン再発行を悪用した大量被害などが社会問題化しました。

防御策として推奨されるのは、①SMS認証から『認証アプリ（Google Authenticator・Microsoft Authenticator・Authy）』または『物理セキュリティキー（YubiKey）』への移行、②キャリア側での『SIMロック』『本人確認強化』『eSIM再発行時の追加認証』設定、③MNP予約番号取得時の通知、④不審なSMS・電話への即対応、⑤個人情報のSNS過剰公開を避ける、⑥本人確認書類の写真をネットにアップしない、⑦iPhoneなら『キャリア設定の自動更新』を有効化、などです。

被害発生の兆候としては、①突然圏外・通話不可になる、②SMSが一切届かなくなる、③覚えのない認証メールが届く、④銀行・SNSから『新規ログイン通知』が届く、などが挙げられます。気づいたら即座にキャリアに連絡してSIMを一時停止し、主要サービスのパスワードを別デバイスから変更、警察にも届け出るのが被害拡大阻止の鉄則です。

2026年時点では、eSIMのオンライン再発行プロセス強化（生体認証必須化）、キャリア間共通の不正検知データベース、NIST SP 800-63-4でのSMS認証非推奨化など、対策が進行中ですが、完全解決には至っていません。個人が『SMS認証に頼らない』防御を自主的に構築することが最大の防衛策です。