東奔西走キャッシュレス 第51回 SIMスワップの対策と対面でのJPKI
2024年5月14日(火)22時4分 マイナビニュース
この連載でこれまで何度か取り上げてきた本人確認の問題(第43回、第47回)。eKYCを悪用した銀行口座の問題に続いて、店頭での本人確認を回避した携帯電話の機種変更が話題になりました。いかに本人確認を確実にするのか、改めて確認したいと思います。
○勝手に機種変更されて携帯を乗っ取られる「SIMスワップ」
今回の問題は、東京都の風間ゆたか都議と大阪府八尾市の松田憲幸市議が相次いで被害に遭い、それをXに投稿したことで明るみに出ました。
2人とも、政治家として有権者の声を聞くために携帯電話番号を公開していたところ、その携帯電話の機種変更が他人の手によって行われ、SIMカードが交換されたことで「携帯電話の乗っ取り」が発生したという経緯のようです。
SIMカードは、携帯電話の契約情報が書き込まれたICチップです。SIMカードを入れ替えることで、スマホを変えても同じ契約/同じ番号で利用できるのですが、SIMカードを新たに発行すると旧カードは無効化されて使えなくなります。
これを悪用したのが今回の犯罪です。本人のスマホとそこに内蔵されたSIMカードは手元にあるのに、他人が勝手に機種変更手続きをしてSIMカードを再発行したことで、手元のSIMカードが使えなくなり、音声通話の発着信やデータ通信ができなくなります。こうした犯罪を「SIMスワップ」などと言います。
この問題が根深いのは、単に携帯電話の通信が使えなくなるだけではないという点です。携帯電話番号を使った各種Webサービスのログインやパスワードの再設定、キャリアの回線認証など色々な認証の際に携帯電話番号が活用されています。手法は様々ですが、携帯電話が乗っ取られるとそうしたサービスも乗っ取られかねません。実際、今回の被害者の2人とも、PayPayのチャージと利用という被害が発生したようです。
携帯電話番号を認証に使うべきか否かという問題点もありますが、それはいったんさておいて、今回のような問題がなぜ起きたのでしょうか。
○SIMスワップは既存の対策でも防止できる
SIMスワップ自体は、新しい攻撃ではありません。特に2022年頃にも同様の事例が発生していたようです。それを機に警察庁と総務省が、携帯キャリアに対して「携帯電話機販売店における本人確認の強化等」を要請しています。
警察庁によれば2022年8月に被害がピークに達していたそうです。このとき、SIMスワップから不正に送金をする手口は1カ月の間に18件発生し、1億100万円の被害が出ていました。その前後にも数件の被害が発生していましたが、その後は被害が減少していたとされています。
各キャリアは、こうした状況を受けて機種変更時の対応を強化。各社とも店頭での機種変更時に「本人確認書類」と「利用中の携帯電話(またはSIMカード)」が必須になりました。元のSIMカードがなければ機種変更ができない、というのが機種変更時の手順となっているわけです。
利用できる本人確認書類はキャリアによって微妙に異なりますが、基本的には運転免許証/マイナンバーカード/在留カードの3つであれば確実です。この3種類は顔写真とICチップがあるため、偽造しづらいというのが特徴です。
こういった本人確認の厳格化によって減少していたSIMスワップ。しかし、今回話題になったことで、発生が完全にゼロにはなっていなかったことが明らかになりました。それは厳格な本人確認が行われていなかったからです。
今回の事件では偽造されたマイナンバーカードが使われたとされています。その偽造の精度がどこまでかは分かっていませんが、本物のマイナンバーカードは、表面の右上にある「マイナちゃん」が見る角度によって色が変わるパールインキを使用しています。
それ以外にも、コピー機などで複写すると文字が浮かび上がるコピー牽制、顔写真のシェーディング加工、コピーできない微細な文字のマイクロ文字などの偽変造対策がされています。
そのため、本人確認に慣れた人であれば偽造カードをある程度は見破ることはできたとみられます。しかし、今回犯行の舞台となったソフトバンクショップは偽造カードを素通ししてしまいました。
さらに、当該のショップは本来のフローであった携帯電話の本体またはSIMカードの確認を怠っていました。本来、それらを持っていなければ手続き中に「その番号に電話をする」という手順が入るようです。そこで本来の所有者が電話に出れば犯行が露見しますし、本人が出なくても呼び出し音が鳴るなら改めて持ってきてもらう、という判断ができます。
そうした本来は定められていたフローを行っていなかったというのが今回の問題の1つです。ソフトバンクの宮川潤一社長は「一部の店舗で運用が不十分だった」と認めています。KDDIの高橋誠社長は「直近では(被害の)報告を受けていない」としており、前述の要請後、本人確認の強化を徹底したことが功を奏しているという認識を示していました。
逆に言えば、ソフトバンクでもこのフローを徹底していれば被害は防げた可能性が高いということになります。
○専用機器で偽造チェック
しかし、本来行うべき携帯電話本体/SIMカードの確認が何らかの理由で割愛されてしまったとしても、本人確認書類の偽造が見分けられれば問題は回避できたはずです。こうした本人確認書類の目視チェックは、これまでも長らく続けられてきました。犯罪収益移転防止法や携帯電話不正利用防止法でも、対面では本人確認書類の目視が指定されているため、目視自体は法的には正しいフローになっています。
ただ、偽造が精密化しているだけでなく、「偽造のように見えるから機種変更を断る」という行動に躊躇してしまうスタッフもいるかもしれません。そうしたときに、目視ではなく機械的にチェックできる仕組みがあると、偽造を見逃す心配も減り、確実に偽造だとして手続きを進めるのを断ることができます(警察にも通報できるでしょう)。
この機械チェックをすでに採用しているのがドコモです。どの機器を使っているかは明らかにされていませんが、市場にはジェイエスキューブや松村エンジニアリングなどの商品があります。
例えばこの両社の製品であれば、運転免許証やマイナンバーカードの偽造チェック(真贋判定)の機能を備えています。もともと運転免許証はICチップを暗証番号なしで読み取り真贋判定が可能でしたが、マイナンバーカードでは照合番号Bが必要になります。
この照合番号Bとは、カード券面にある生年月日+有効期限の西暦+セキュリティコードの14ケタのことで、この番号によりICチップ内にある4情報と顔写真にアクセスできるようになります。先の2社の機器の場合、券面をスキャンした際にOCRでこの照合番号Bを読み取ってICチップのデータが読み出せるため、これによって真贋判定ができるそうです。
ICチップの偽造はほぼ不可能とされていますから、このチェックを行うことで、偽造の問題はほぼクリアできるでしょう。
ドコモは、このマイナンバーカードの読み取りも可能な機械によるチェックを、新規・機種変更を問わず契約時のフローとして義務付けているとしています。必ず本人確認書類に対して機械チェックを行っている(はず)なので、偽造対策は問題なさそうです。
ソフトバンクの宮川社長は、「システムでの対応も決めた。今のシステムの中で改造して対応できることが分かったので対応する」としています。恐らく、これまでは運転免許証などで機械チェックしていたところにマイナンバーカードもその対象として追加する、ということではないかと想像しています。
いずれにしても、この機械チェックも「必ずチェックする」という徹底が重要であることはいうまでもありません。既存の対策でも「徹底する」ことでSIMスワップは防止できているようですが、より確実にするためには、こうした機械チェックを利用するのが正しいでしょう。
これは、厳格な本人確認が求められる金融機関のような他の現場にも共通した課題です。特に大手の金融機関は本人確認書類の機械チェックをしているとしていますが、全国銀行協会のような業界団体にもガイドラインはなく、どこまで機械チェックが広がっているかは調べ切れていません。
それに対して河野太郎デジタル大臣は5月10日の会見で、「マイナンバーカードのICチップ読み取りに対応した民間アプリがあれば使用を奨励するし、なければデジタル庁でアプリを開発して無償提供したい」と話しています。
携帯キャリアや大手金融機関のレベルであれば、無償アプリなどを利用するのではなく、複数の本人確認書類に対応した前述のような専用機器を導入するべきでしょう。それでも、スマホアプリやWindows PCに接続したリーダーなどで簡単にチェックできるのであれば、小規模な事業者でもICチップによる確認ができるようになるのでメリットはあるでしょう。ただ、マイナンバーカードだけをチェックすればいいわけでもないので、その辺りは難しいところです。
「次期個人番号カードタスクフォース 最終とりまとめ」では、「カードのICチップに記録された券面記載事項等をスマホ等により個人情報保護に配慮しつつ、使いやすいUIで読み取ることができるアプリを国が開発し、無償で配布する」としていましたが、ひとまずICカードにアクセスして真贋判定できるアプリを開発するということなのでしょう。
国は、「デジタル社会の実現に向けた重点計画」において、犯罪収益移転防止法と携帯電話不正利用防止法で非対面の本人確認はマイナンバーカードを使ったJPKIに一本化する方針を示し、対面でもJPKIによる本人確認を進めるなどして本人確認書類のコピーは取らない、という方向性を打ち出しています。
このあたりは本連載の第47回で説明したので繰り返しませんが、対面でのJPKIはマイナンバーカードに限られるという問題がある反面、安全性は高くなります。本人確認書類が限定されてしまうのでJPKIへの一本化は難しいでしょうが、「対面でも契約書を手書きせずに即時に本人確認が安全にできる」という、マイナンバーカードのメリットにもなりそうです。
鈴木淳也氏のImpress Watchでのレポートにもあるように、マイナンバーカード機能のスマホへの搭載も近づいており、これを使った本人確認はJPKIということになるでしょう。金融機関やキャリアでも、本人確認書類としてこれを受け付けるための準備も今後必要になってきます。「デジタル庁の無償アプリ」は、こうしたJPKIへの対応も考慮した開発が期待されるところです。
小山安博 こやまやすひろ マイナビニュースの編集者からライターに転身。無節操な興味に従ってデジカメ、ケータイ、コンピュータセキュリティなどといったジャンルをつまみ食い。最近は決済に関する取材に力を入れる。軽くて小さいものにむやみに愛情を感じるタイプ。デジカメ、PC、スマートフォン……たいてい何か新しいものを欲しがっている。 この著者の記事一覧はこちら
○勝手に機種変更されて携帯を乗っ取られる「SIMスワップ」
今回の問題は、東京都の風間ゆたか都議と大阪府八尾市の松田憲幸市議が相次いで被害に遭い、それをXに投稿したことで明るみに出ました。
2人とも、政治家として有権者の声を聞くために携帯電話番号を公開していたところ、その携帯電話の機種変更が他人の手によって行われ、SIMカードが交換されたことで「携帯電話の乗っ取り」が発生したという経緯のようです。
SIMカードは、携帯電話の契約情報が書き込まれたICチップです。SIMカードを入れ替えることで、スマホを変えても同じ契約/同じ番号で利用できるのですが、SIMカードを新たに発行すると旧カードは無効化されて使えなくなります。
これを悪用したのが今回の犯罪です。本人のスマホとそこに内蔵されたSIMカードは手元にあるのに、他人が勝手に機種変更手続きをしてSIMカードを再発行したことで、手元のSIMカードが使えなくなり、音声通話の発着信やデータ通信ができなくなります。こうした犯罪を「SIMスワップ」などと言います。
この問題が根深いのは、単に携帯電話の通信が使えなくなるだけではないという点です。携帯電話番号を使った各種Webサービスのログインやパスワードの再設定、キャリアの回線認証など色々な認証の際に携帯電話番号が活用されています。手法は様々ですが、携帯電話が乗っ取られるとそうしたサービスも乗っ取られかねません。実際、今回の被害者の2人とも、PayPayのチャージと利用という被害が発生したようです。
携帯電話番号を認証に使うべきか否かという問題点もありますが、それはいったんさておいて、今回のような問題がなぜ起きたのでしょうか。
○SIMスワップは既存の対策でも防止できる
SIMスワップ自体は、新しい攻撃ではありません。特に2022年頃にも同様の事例が発生していたようです。それを機に警察庁と総務省が、携帯キャリアに対して「携帯電話機販売店における本人確認の強化等」を要請しています。
警察庁によれば2022年8月に被害がピークに達していたそうです。このとき、SIMスワップから不正に送金をする手口は1カ月の間に18件発生し、1億100万円の被害が出ていました。その前後にも数件の被害が発生していましたが、その後は被害が減少していたとされています。
各キャリアは、こうした状況を受けて機種変更時の対応を強化。各社とも店頭での機種変更時に「本人確認書類」と「利用中の携帯電話(またはSIMカード)」が必須になりました。元のSIMカードがなければ機種変更ができない、というのが機種変更時の手順となっているわけです。
利用できる本人確認書類はキャリアによって微妙に異なりますが、基本的には運転免許証/マイナンバーカード/在留カードの3つであれば確実です。この3種類は顔写真とICチップがあるため、偽造しづらいというのが特徴です。
こういった本人確認の厳格化によって減少していたSIMスワップ。しかし、今回話題になったことで、発生が完全にゼロにはなっていなかったことが明らかになりました。それは厳格な本人確認が行われていなかったからです。
今回の事件では偽造されたマイナンバーカードが使われたとされています。その偽造の精度がどこまでかは分かっていませんが、本物のマイナンバーカードは、表面の右上にある「マイナちゃん」が見る角度によって色が変わるパールインキを使用しています。
それ以外にも、コピー機などで複写すると文字が浮かび上がるコピー牽制、顔写真のシェーディング加工、コピーできない微細な文字のマイクロ文字などの偽変造対策がされています。
そのため、本人確認に慣れた人であれば偽造カードをある程度は見破ることはできたとみられます。しかし、今回犯行の舞台となったソフトバンクショップは偽造カードを素通ししてしまいました。
さらに、当該のショップは本来のフローであった携帯電話の本体またはSIMカードの確認を怠っていました。本来、それらを持っていなければ手続き中に「その番号に電話をする」という手順が入るようです。そこで本来の所有者が電話に出れば犯行が露見しますし、本人が出なくても呼び出し音が鳴るなら改めて持ってきてもらう、という判断ができます。
そうした本来は定められていたフローを行っていなかったというのが今回の問題の1つです。ソフトバンクの宮川潤一社長は「一部の店舗で運用が不十分だった」と認めています。KDDIの高橋誠社長は「直近では(被害の)報告を受けていない」としており、前述の要請後、本人確認の強化を徹底したことが功を奏しているという認識を示していました。
逆に言えば、ソフトバンクでもこのフローを徹底していれば被害は防げた可能性が高いということになります。
○専用機器で偽造チェック
しかし、本来行うべき携帯電話本体/SIMカードの確認が何らかの理由で割愛されてしまったとしても、本人確認書類の偽造が見分けられれば問題は回避できたはずです。こうした本人確認書類の目視チェックは、これまでも長らく続けられてきました。犯罪収益移転防止法や携帯電話不正利用防止法でも、対面では本人確認書類の目視が指定されているため、目視自体は法的には正しいフローになっています。
ただ、偽造が精密化しているだけでなく、「偽造のように見えるから機種変更を断る」という行動に躊躇してしまうスタッフもいるかもしれません。そうしたときに、目視ではなく機械的にチェックできる仕組みがあると、偽造を見逃す心配も減り、確実に偽造だとして手続きを進めるのを断ることができます(警察にも通報できるでしょう)。
この機械チェックをすでに採用しているのがドコモです。どの機器を使っているかは明らかにされていませんが、市場にはジェイエスキューブや松村エンジニアリングなどの商品があります。
例えばこの両社の製品であれば、運転免許証やマイナンバーカードの偽造チェック(真贋判定)の機能を備えています。もともと運転免許証はICチップを暗証番号なしで読み取り真贋判定が可能でしたが、マイナンバーカードでは照合番号Bが必要になります。
この照合番号Bとは、カード券面にある生年月日+有効期限の西暦+セキュリティコードの14ケタのことで、この番号によりICチップ内にある4情報と顔写真にアクセスできるようになります。先の2社の機器の場合、券面をスキャンした際にOCRでこの照合番号Bを読み取ってICチップのデータが読み出せるため、これによって真贋判定ができるそうです。
ICチップの偽造はほぼ不可能とされていますから、このチェックを行うことで、偽造の問題はほぼクリアできるでしょう。
ドコモは、このマイナンバーカードの読み取りも可能な機械によるチェックを、新規・機種変更を問わず契約時のフローとして義務付けているとしています。必ず本人確認書類に対して機械チェックを行っている(はず)なので、偽造対策は問題なさそうです。
ソフトバンクの宮川社長は、「システムでの対応も決めた。今のシステムの中で改造して対応できることが分かったので対応する」としています。恐らく、これまでは運転免許証などで機械チェックしていたところにマイナンバーカードもその対象として追加する、ということではないかと想像しています。
いずれにしても、この機械チェックも「必ずチェックする」という徹底が重要であることはいうまでもありません。既存の対策でも「徹底する」ことでSIMスワップは防止できているようですが、より確実にするためには、こうした機械チェックを利用するのが正しいでしょう。
これは、厳格な本人確認が求められる金融機関のような他の現場にも共通した課題です。特に大手の金融機関は本人確認書類の機械チェックをしているとしていますが、全国銀行協会のような業界団体にもガイドラインはなく、どこまで機械チェックが広がっているかは調べ切れていません。
それに対して河野太郎デジタル大臣は5月10日の会見で、「マイナンバーカードのICチップ読み取りに対応した民間アプリがあれば使用を奨励するし、なければデジタル庁でアプリを開発して無償提供したい」と話しています。
携帯キャリアや大手金融機関のレベルであれば、無償アプリなどを利用するのではなく、複数の本人確認書類に対応した前述のような専用機器を導入するべきでしょう。それでも、スマホアプリやWindows PCに接続したリーダーなどで簡単にチェックできるのであれば、小規模な事業者でもICチップによる確認ができるようになるのでメリットはあるでしょう。ただ、マイナンバーカードだけをチェックすればいいわけでもないので、その辺りは難しいところです。
「次期個人番号カードタスクフォース 最終とりまとめ」では、「カードのICチップに記録された券面記載事項等をスマホ等により個人情報保護に配慮しつつ、使いやすいUIで読み取ることができるアプリを国が開発し、無償で配布する」としていましたが、ひとまずICカードにアクセスして真贋判定できるアプリを開発するということなのでしょう。
国は、「デジタル社会の実現に向けた重点計画」において、犯罪収益移転防止法と携帯電話不正利用防止法で非対面の本人確認はマイナンバーカードを使ったJPKIに一本化する方針を示し、対面でもJPKIによる本人確認を進めるなどして本人確認書類のコピーは取らない、という方向性を打ち出しています。
このあたりは本連載の第47回で説明したので繰り返しませんが、対面でのJPKIはマイナンバーカードに限られるという問題がある反面、安全性は高くなります。本人確認書類が限定されてしまうのでJPKIへの一本化は難しいでしょうが、「対面でも契約書を手書きせずに即時に本人確認が安全にできる」という、マイナンバーカードのメリットにもなりそうです。
鈴木淳也氏のImpress Watchでのレポートにもあるように、マイナンバーカード機能のスマホへの搭載も近づいており、これを使った本人確認はJPKIということになるでしょう。金融機関やキャリアでも、本人確認書類としてこれを受け付けるための準備も今後必要になってきます。「デジタル庁の無償アプリ」は、こうしたJPKIへの対応も考慮した開発が期待されるところです。
小山安博 こやまやすひろ マイナビニュースの編集者からライターに転身。無節操な興味に従ってデジカメ、ケータイ、コンピュータセキュリティなどといったジャンルをつまみ食い。最近は決済に関する取材に力を入れる。軽くて小さいものにむやみに愛情を感じるタイプ。デジカメ、PC、スマートフォン……たいてい何か新しいものを欲しがっている。 この著者の記事一覧はこちら
関連記事(外部サイト)
