SIMスワップされたかどうかの確認方法と自己防衛策

Bruce Li
May 23, 2025

チュートリアル

想像してみてください。ある瞬間にはスマホをスクロールしていたのに、次の瞬間にはサービスが利用できなくなったとします。メッセージが届かず、電話をかけることもできません。これは単なるネットワークの不具合ではなく、SIMスワップの被害に遭った最初の兆候かもしれません。

「自分には関係ない」と思うかもしれませんが、著名な人物でさえ無縁ではありません。Twitterの元CEOであるジャック・ドーシー氏のTwitterアカウントがハッキングされたことを覚えていますか?あれはSIMスワップでした。このガイドでは、SIMスワップされたかどうかの見分け方、そして最も重要な自己防衛策を含め、知っておくべきことすべてを説明します。

image-20.webp

 

SIMスワップ:デジタル強奪の手口

SIMスワップ攻撃は、SIMスワップ詐欺、SIMスプリッティング、またはポートアウト詐欺としても知られ、アカウント乗っ取り詐欺の一種です。基本的な考え方はこうです:詐欺師があなたの携帯電話会社をだまして、あなたの電話番号を彼らが管理するSIMカードに切り替えさせます。一度彼らがあなたの番号を手にすると、あなたの通話やテキストメッセージを傍受できるようになります。これは特に危険です。なぜなら、銀行やソーシャルメディアを含む多くのオンラインサービスが、二段階認証(2FA)のためにワンタイムパスコード(OTP)をSMS(テキストメッセージ)で送信するからです。ハッカーがあなたの番号を管理している場合、これらのコードを受け取り、このセキュリティ対策を回避して、機密性の高いアカウントにアクセスできるようになります。

攻撃者は巧妙で、携帯キャリアを悪用し、だまして切り替えを実行させるために複数のステップを踏みます。その手口は以下の通りです。

  1. 情報収集(フィッシングとリサーチ): まず、攻撃者はあなたに関する個人情報を収集する必要があります。これはフィッシングメールやテキスト、ソーシャルメディアのストーキング、データ漏洩、またはマルウェアを通じて行われる可能性があります。

  2. 携帯キャリアへの連絡: あなたの情報で武装した攻撃者は、携帯電話会社に連絡します。彼らはあなたのふりをします。

  3. キャリアへのソーシャルエンジニアリング: ここで「ソーシャルエンジニアリング」が関わってきます。攻撃者は収集した情報を使って、説得力のある声でセキュリティ質問に答えます。

  4. 番号の移植(ポート): 成功すると、キャリアはあなたのSIMカードを無効化し、攻撃者が所持する新しいSIMカードを有効化します。あなたの電話番号は事実上、彼らのデバイスに「移植」または転送されます。

  5. アカウントへのアクセス: 電話番号を管理下においた攻撃者は、あなたのオンラインアカウントのパスワードリセットを開始できます。彼らはパスワードリセットコード(あのSMS OTP)を要求し、それは彼らが管理するSIMカードに送信されます。その後、彼らはあなたのメール、銀行口座、仮想通貨ウォレット、ソーシャルメディアなどにアクセスできるようになります。

image-1-14.webp

SMS OTPの脆弱性

SMSベースのワンタイムパスコードは、ほとんどすべての人がテキストを受信できる携帯電話を持っているため一般的です。これはセキュリティの追加レイヤーを追加する便利な方法です。どこかにログインする際に、パスワードを入力した後、サービスは短いコードをあなたの電話に送信します。その後、あなたはそのコードを入力して本人であることを証明します。

問題は、見てきたように、誰かがSIMスワップを通じてあなたの電話番号を管理している場合、そのコードはあなたではなく彼らに届くということです。これはSMS OTPを弱いリンクにします。2FAがないよりはましですが、SIMスワップが成功すると容易に回避されてしまいます。これが、SIMスワップされたかどうかを迅速に見分ける方法を理解することが非常に重要である主な理由です。

誰が危険にさらされているか?

SIMスワップは富裕層や有名人だけに関わる犯罪だと考えがちですが、それは危険な誤解です。高名な個人、特に多額の仮想通貨資産を持っていることで知られる人物は確かに魅力的な標的ですが、彼らだけではありません。ニュース記事は、これらの大きな事件に焦点を当てることが多いのは、それが見出しになるからです。しかし現実には、攻撃者は機会があればどこでも探しています。「自分は標的になるほど重要ではない」と決めつけるのは間違いです。

平均的な人々もSIMスワップの被害者になりつつあります。考えてみてください:

  • あなたのソーシャルメディアプロフィールには個人情報が含まれている可能性があり、または攻撃者は侵害されたアカウントを使ってあなたの友人や家族に詐欺を広める可能性があります。

  • あなたのメールは、多くの場合、他の多くのサービスのパスワードをリセットするための鍵となります。

  • 数百万を持っていなくても、攻撃者はより少額の銀行口座を空にし、オンラインに保存されているクレジットカード詳細を使って不正な購入を行う可能性があります。

  • 時には、目標は直接的な金銭的窃盗ではありません。より広範ななりすましのため、誰かを嫌がらせするため、または個人的な電話を仕事で使用している場合は仕事関連のアカウントにアクセスするためである可能性もあります。

あなたの公開情報があなたを標的にしています。あなたに関する情報が公開されているほど、攻撃者にとってプロファイルを構築し、あなたになりすますのが容易になります。

ソーシャルメディアでセキュリティ質問の答えとなることが多い情報を過剰に共有したり、個人情報を要求するオンラインアンケートに記入したりすることから。公開する情報が少ないほど、攻撃者がSIMスワップに必要な弾薬を集めるのが難しくなります。

 

SIMスワップの兆候をタイムリーに察知する方法:攻撃下にあるサイン

警告サインを知ることは最初の防衛線であり、迅速に対応することが大きな違いを生む可能性があります。これらのいずれかに気づいた場合は、直ちに行動してください。

  1. 突然の携帯電話サービスの喪失: これが最大の危険信号です。特に通常良好な電波状況のエリアで、あなたの電話が突然「圏外」または「緊急通報のみ」と長時間表示される場合、疑ってください。

  2. 予期しないSIMカード有効化メッセージ: あなたが何もしていないのに、キャリアからSIMカードが新しいデバイスで有効化された、またはポートアウト要求が開始されたというテキストメッセージを受け取ることがあります。

  3. アカウントにログインできない: 銀行、メール、またはソーシャルメディアのアカウントから締め出され、パスワードリセットの試みが機能しないことに気づきます。

  4. 疑わしいアカウントアクティビティ: あなたが行っていないパスワード変更の通知、見慣れない場所からのログインに関するメール、または銀行口座やクレジットカード明細における不正な取引が見られます。

  5. 通話やテキストがあなたに届かない: 友人や家族から電話やテキストを試みていると言われるが、何も受信していない。

Phone displaying 'No Service'—a critical sign when learning how to tell if you've been sim swapped

災難が起こるのを待たないでください。可能な場合はアラートを設定してください。

  • 銀行およびクレジットカードアラート: すべての取引、ログイン試行、プロファイル変更について通知を有効にします。
  • メールセキュリティアラート: 多くのメールプロバイダーは、新しいデバイスまたは場所からのログインについて通知します。これらに注意を払ってください。
  • キャリアアラート: 一部の携帯キャリアは、SIM変更またはポートアウト要求に関するアラートを提供しています。あなたのキャリアが提供しているか確認してください。

さらに、誰もにどれだけ早く事態がエスカレートするかを示すために、次の実例をご紹介します。9月のある晩、フリーランスのWeb開発者ジャスティン・チャン氏は、彼のiPhoneが「SOS」モードになったことに気づきました。数分後、彼のXfinity Mobile回線は停止しました。数時間以内に、攻撃者は彼になりすまし、彼の番号をポートし、彼が眠っている間にバンク・オブ・アメリカの共同口座から38,000ドルを電信送金しました。バンク・オブ・アメリカは当初彼の詐欺被害の主張を否定しましたが、数ヶ月のメディアの圧力の後、彼はついに全額を回復しました。これは、秒があなたの運命を決める際に、粘り強さが重要であることの証拠です。

 

SIMスワップから身を守る方法

予防は常に治療より優れています。防御を強化する方法は以下の通りです。

  • オンラインアカウントごとに異なる複雑なパスワードを使用します。パスワードマネージャーは、これらを安全に作成・保存するのに役立ちます。 そして、2FAにはSMS以外のものを使用しましょう:SMS OTPはSIMスワップに対して脆弱であるため、可能な場合はより強力な多要素認証(MFA)を使用します。認証アプリ、ハードウェアセキュリティキー、または生体認証(指紋認証や顔認識が提供されている場合)を使用できます。

  • 携帯プロバイダーに連絡し、SIM PIN/パスコードやアカウントPIN/パスワードなどのセキュリティオプションについて尋ねてください。また、強化された認証についても尋ねることができます。一部のキャリアは、ポートアウト要求に対して追加のセキュリティ質問や対面確認を要求しています。

Abstract visual of a SIM swap attack in progress, key to knowing how to tell if you've been sim swapped

標的になった場合の対処法

SIMスワップが発生している、または発生したばかりだと疑われる場合:

  1. すぐに携帯キャリアに連絡する: 別の電話を使用するか、必要であれば物理店舗に行きます。不正なSIMスワップまたはポートアウトを疑っていることを伝えてください。許可されていないSIMを無効化し、正規のSIMにサービスを復旧するよう依頼してください。

  2. パスワードを変更する: 最も重要なアカウントから始めます:メール、銀行、金融サービス。その後、ソーシャルメディアや他のオンラインアカウントに進みます。

  3. アカウントアクティビティを確認する: 銀行口座、クレジットカード明細、およびメールをくまなく調べ、不正な取引やアクティビティがないか確認します。

  4. 連絡先に通知する: ソーシャルメディアまたはメールが侵害された場合は、連絡先にハッキングされたこと、そしてあなたのアカウントからの不審なメッセージに注意するよう伝えます。

  5. 犯罪を報告する: SIMスワップを、米国では連邦取引委員会(FTC)などの関連当局または地域の法執行機関に報告します。

  6. クレジット凍結を検討する: これにより、攻撃者があなたの名義で新しい信用枠を開設するのを防ぐことができます。

攻撃者はあなたを騙すことに頼っていることを忘れないでください。したがって、警戒を怠らないでください。

  • 予期しないメール、テキスト、またはソーシャルメディアメッセージのリンクをクリックしたり、添付ファイルをダウンロードしたりしないでください。
  • 正規の会社が、ワンタイムパスコード、パスワード、またはアカウントPINを電話やテキストで尋ねることはありません。
  • オンラインで過剰に共有しないでください。個人情報を尋ねる人、特に電話やメールでの要求には懐疑的になってください。会社から電話がかかってきた場合は、電話を切り、彼らの公式ウェブサイトに記載されている正規の番号にかけ直してください。
  • 文法が不自然だったり、緊急の脅迫が含まれていたり、一般的な挨拶が使われていたり、機密情報を要求されたりするサインを探してください。
    これらの戦術を理解することは、被害者になる前に危険信号を見分けるのに役立ちます。

 

SIMスワップの未来:脅威は減少しているか?

技術が常に進化する中で、SIMスワップの未来はどうなるのでしょうか?一夜にして完全に消える可能性は低いですが、いくつかの進歩がSIMスワップをより困難にしています。

  • より強力な多要素認証: より多くのユーザーやサービスが認証アプリやハードウェアセキュリティキーを採用するにつれて、SMS OTPへの依存度が減少し、多くのSIMスワップがアカウントへのアクセスにとってあまり効果的ではなくなります。

  • 改善されたキャリアセキュリティ: キャリアは、規制当局の圧力と公共の意識向上もあり、徐々にセキュリティプロトコルを改善しています。番号の移植やSIM変更に対するより厳格な本人確認プロセスが一般的になっています。

  • eSIM技術 eSIMは、携帯電話に直接埋め込まれたSIMです。従来のSIMカードのように物理的に取り外して交換することはできません。攻撃者がキャリアをだましてあなたのeSIMプロファイルを彼らのデバイスに転送させようとする可能性はまだありますが、そのプロセスは多くの場合より安全であり、より堅牢な検証が必要となる場合があります。Yoho Mobileのような会社はeSIMを提供しており、他の優れたセキュリティ対策と組み合わせることで、より安全なモバイル体験に貢献できます。

モバイルセキュリティを自分で管理しましょう—Yoho Mobileの無料eSIMトライアルを試して、旅行中のより安全な接続を体験してください。物理的なSIMがなく、長期契約もないため、ほとんどの国で安心して即座にモバイルデータにアクセスできます。このよりスマートで安全なソリューションに切り替える準備ができたら、チェックアウト時にクーポンコードYOHO12を使用してeSIMプランを12%割引で入手してください。

 

しかし、SMS 2FAが存在し、ソーシャルエンジニアリングが依然として効果的である限り、SIMスワップは何らかの形で持続する可能性が高いです。さらに、サイバー犯罪者は常に適応しています。従来のSIMスワップがより困難になるにつれて、彼らは戦術を進化させるかもしれません:

  • マルウェアベースの攻撃: キャリアを標的とするのではなく、携帯電話上のマルウェアがSMSメッセージや認証アプリのコードを直接傍受する可能性があります。
  • IoTデバイスの悪用: より多くのデバイスがインターネットに接続されるにつれて、攻撃者はあなたの携帯電話番号やアカウントにリンクされたIoTデバイスの脆弱性を見つける可能性があります。
  • AIを活用したソーシャルエンジニアリング: AIは、より説得力のあるフィッシングメッセージや、個人をより効果的に模倣するためのディープフェイク音声通話を作成するために使用される可能性があります。

セキュリティ専門家とサイバー犯罪者の間のいたちごっこは続くでしょう。情報収集と適切なデジタル衛生習慣を実践することが、引き続き不可欠となります。

 

よくある質問:SIMスワップに関する最も一般的な質問

SIMスワップは銀行口座に影響しますか?

はい。銀行がSMS OTPを使用している場合、攻撃者はSIMスワップを介してこれらのコードを傍受し、オンラインバンキングにアクセスしたり、資金を送金したり、詳細を変更したりできます。

SIMスワップはなりすましとどう違うのですか?

SIMスワップは、より広範ななりすまし(金銭的利益のためにあなたになりすますために個人情報を盗むこと)につながる手法(電話番号を管理下におくこと)です。

携帯電話番号ポータビリティとは何ですか、そしてそれはSIMスワップにどのように関わっていますか?

携帯電話番号ポータビリティ(MNP)は、キャリアを変更しても電話番号を維持できる仕組みです。攻撃者は、あなたになりすまして正規のリクエストを偽装し、あなたの番号を彼らのSIMにポートするようにキャリアをだますことでこれを悪用します。

キャリアが提供する「SIMロック」サービスはありますか?

はい、多くのキャリアは「アカウントロック」や「ポート凍結」サービスを提供しています。これらは、番号をポートする前に追加のPINやより厳格な確認を必要とします。これらの設定についてはキャリアに連絡してください。

接続性接続のヒントSIMカードiPhoneのヒントアカウントセキュリティeSIMセキュリティサイバーセキュリティモバイルセキュリティ