楽天モバイルで「身に覚えのないeSIM再発行」の危険性 緩すぎる2つのプロセスは改善すべき
2024年4月27日(土)6時5分 ITmedia Mobile
楽天モバイルは、身に覚えのないeSIMの再発行を注意するお知らせを23日に掲出した
こうした事例に対し、楽天モバイルはユーザーにIDのメールアドレスからの変更や、他のサービスとのパスワードの使い回しをやめるよう案内している。ただ、これで本当に十分な対応といえるのだろうか。モバイル回線は単に電話やデータ通信をするためだけのものではなく、サービスの認証を担う役割もあるだけに、楽天モバイルにはさらなる対策が求められそうだ。
●盗まれたeSIMの情報、他サービスへのログインも可能に
楽天モバイルが明かした事案は、いわゆるSIMスワップと呼ばれるもの。フィッシングなど、何らかの形で楽天IDとそのパスワードを入手した第三者が、ユーザーのアカウントを乗っ取り、eSIMの再発行をかける形で回線そのものを奪った格好だ。SIMカードとは異なり、ネット経由でプロファイルの書き換えるだけで再発行が完了してしまう、eSIMならではの手口といえる。物理的なSIMカードであれば、送付先の住所や名前が違えば受け取れない可能性があるが、eSIMはそのハードルが低くなりやすい。
楽天モバイルの広報部によると、このお知らせは実際に被害にあったユーザーがいたため、掲出したものだという。同社では、「モバイル通信サービスを不正に利用するという事案」と説明しているが、回線を乗っ取られてしまうと、被害は単に音声通話やデータ通信を勝手に使われるだけでは済まない。SMSでユーザーの認証を行う各種サービスに、ログインされてしまうリスクがあるからだ。
楽天モバイルの回線が不正に利用され、追加で通話料が発生する可能性もあるが、同社の「Rakuten最強プラン」はデータ通信料が定額のため、国際電話を長時間かけられるようなことがなければ金銭的な被害は小さい。それ以上に怖いのが、サードパーティーのサービス。登録しているクレジットカードの情報を盗まれたり、サービスを不正に利用して何らかのものを買われたり、さらにはコード決済サービスの残高を盗まれたりといった被害が起こることも十分考えられる。
では、楽天モバイルではどのような対応策を案内しているのか。1つ目は、パスワードの使い回しをやめることだ。また、楽天IDはメールアドレス以外にすることも推奨している。これによって、他のサービスで漏えいしてしまったID、パスワードの組み合わせでログインされるのは防ぐことが可能だ。また、万が一ログインされた際に、すぐにそれを察知できるよう、ログイン通知機能の利用も呼びかけている。
これに加え、楽天ID全体を管理する「my Rakuten」でログイン履歴の確認を行うことが推奨されている。とはいえ、いずれも管理がユーザー任せになっているため、今後も同様の事件が起こる可能性は捨てきれない。多種多様なサービスを利用するにあたり、IDやパスワードを使い回さないのは確かに理想的だが、Webサイトのお知らせで呼びかけたところで、全てのユーザーが変更してくれるわけではない。ログイン履歴を小まめに確認する対策も、手間を考えると現実的とはいえない。
●緩いeSIM再発行の2段階認証、メールアドレスの変更も可能
一方で、楽天モバイルもeSIMの再発行には、my楽天モバイルへのログイン以上のセキュリティをかけている。当初は、ボタンをクリックしていくだけでできたeSIMプロファイルの再発行だが、現在は、登録したメールあてにワンタイムパスワードが送付される仕様になっており、my楽天モバイルにログインできたからといって、eSIMプロファイルの再発行がすぐにできてしまうわけではない。
また、登録したメールアドレスを変更する際にも、変更前のメードアドレスに送られたワンタイムパスワードの入力が必要になる。フィッシングなどでメールのアカウントを不正に入手されれば突破されてしまうものの、楽天IDとパスワードが漏えいしただけでは、eSIMプロファイルの再発行はできない……と言いたいところだが、必ずしもそうではないことが分かった。
実は、メールアドレスの変更は、オペレーターにチャットで依頼してもできてしまう。筆者が試した際に聞かれたのは、氏名や電話番号など、いずれもmy楽天モバイルに記載されている情報。やりとりが終わると、楽天モバイル側から強制的にメールアドレスが変更され、ワンタイムパスワードの入力は省略できた。
これは、変更前のメールアドレスがサービス停止などで利用できなくなってしまった場合の措置だが、そのように偽ることでeSIMプロファイルの再発行に必要なワンタイムパスワードが送られてくるメールアドレスを変更ができてしまいかねない。
あとは、普段通りの手順でeSIMプロファイルを発行するだけで済む。my楽天モバイルを突破されてしまえば、eSIMプロファイルの再発行は容易というわけだ。my楽天モバイルを家、eSIMプロファイルを金庫にしまった財産とするならば、合鍵の作製が比較的容易な玄関の中に、金庫を解錠するためのヒントをちりばめているようなもの。玄関を突破されれば、中の金庫も比較的空けやすい状態だったといえる。
少なくとも、メールアドレス変更の際には、より本人確認を厳しくする必要がある。楽天モバイルによると、「eSIM再発行のお手続きをしていただいたお客さまには、当社より確認のご連絡をさせていただく場合や、eSIMの再発行を保留させていただく場合がある」というものの、この措置が発動する基準は不明。100%防げるかどうかの保障はなく、怪しい動作として検出されなければ、突破されてしまう恐れもありそうだ。
●手続きがより厳格な競合他社、楽天モバイルも見直しの時期か
他社の場合、eSIMを再発行する前に利用中の回線にSMSで認証コードが飛ぶケースが多い。ソフトバンクのLINEMOは、認証コードの送付先としてSMSだけでなく、メールでの受信も選択できたが、登録済みのメールアドレスを変更するには契約している回線からのアクセスが必要だった。メールサービスまで乗っ取られていたケースだと被害は発生しそうだが、少なくとも、変更のハードルは高くしていることが分かる。
また、auでは利用中の端末が故障した場合、eSIMプロファイルを誤って削除してしまった場合に限り、eKYCを活用した本人確認が求められる。いずれも、端末の故障やeSIMプロファイルの誤削除などで、SMSを受信できなくなってしまうとハードルが上がり、手間も増えてしまうものの、楽天モバイルのそれよりも仕組みとして安全側に倒した運営をしているのは間違いない。
その分だけ、本当に機種変更でeSIMのプロファイルを移行させたいときに手間がかかってしまうのは事実だが、キャリアと端末メーカーやプラットフォーマーの協力により、徐々にそれも解消されつつある。現状では、iPhone同士であればeSIMクイック転送を利用でき、大手キャリア4社はサブブランドやオンライン専用ブランドまで含めてこれに対応する。
Androidは現時点でGalaxyとPixelに限定されるが、ドコモが「Android eSIM転送」を提供している。AndroidのeSIM転送は、2023年のMWC BarcelonaでGoogleが発表したもので、GSMAの業界標準に準拠した仕組み。当のGoogleや、Googleとの距離を縮めているサムスン電子がいち早くこれに対応したが、標準仕様が策定されているだけに、他のメーカーやドコモ以外のキャリアへの広がりも期待できる。完璧ではないものの、契約情報を管理するサイトから再発行する必要性は低くなりつつある。楽天モバイルも、eSIM再発行のプロセスを見直す時期に来ているといえそうだ。
それ以前に、my楽天モバイルへのアクセスが緩すぎる点も気になっている。仮にeSIMの再発行を防げたとしても、my楽天モバイルに入られた段階で本名はもちろん、電話番号、住所、職業、生年月日などの個人情報が筒抜けになってしまう。「最強家族プログラム」を組んでいた場合、家族の名前や電話番号も簡単に表示できる。こうした情報が集約されているサイトにアクセスするための認証システムがIDとパスワードだけというのは不十分だ。
例えば、ドコモの場合、端末に暗号化した秘密鍵を持たせるパスキーを利用すると、アカウントにログインする際のパスワードを無効化できる。KDDIのau IDも同様だ。こうした対策がしてあれば、IDとパスワードの流出をきっかけとした不正ログインはほぼできなくなる。いずれも、Android端末だとGoogleアカウントを通じた同期ができないなど、課題も残されているが、楽天モバイルのそれより安全性が高いのは事実だ。楽天IDにはさまざまなサービスがひも付いているだけに、セキュリティ強化の動きに期待したい。
関連記事(外部サイト)
