#4967 SIMスワップ詐欺にご用心 May 12, 2023

  3月にガラケイからスマホに切り換え、2か月たちました。スマホ関係の記事には自然に目が行きますね。標題のSIMスワップ詐欺の記事を見つけました。

　SIMスワップ詐欺では、スマホが突然使えなくなった、そしてその日のうちに預金残高がゼロなんてことが起きるようです。
　これだけではわたしには何のことか、仕組みがさっぱりわかりませんので用心のしようもないのです。比較的新しい専門用語がさっぱりわかりませんので、こういう時は「SIMってなんだっけ？」、「スワップって何？」っていうところから調べてみます。
（これから調べて書くことに間違いがあれば、投稿欄で教えてください。こういう時にはブログはとっても便利なのです。よくご存じの方が、ブログの内容に間違いがあれば教えてくれます。）

　SIMはSubscriber Identity Moduleの略だそうですが、日本語では「加入者識別モジュール」、スマホに装着されている小さなICカードのことです。契約者の識別情報が書き込まれています。電話番号と端末（スマホやタブレット）を結びつけることで通信を可能にします。音声ばかりでなくデータ通信もこのSIMカードがスマホに装着されているので利用可能になります。

　スワップはswapですが、「交換」を意味します。swappingは夫婦交換（乱交）を意味するよく知られた語彙です。金融用語では「通貨スワップ」というのがあります。韓国ウォンの通貨危機を回避するために日韓通貨スワップ協定が結ばれています。

　便利な機器を使うとリスクもあるというあたりまえのことなのですが、スマホを使っているわたしたちはとかくリスクを見逃しがちです。
　詐欺師は標的（詐欺被害者）の電話番号を、電話会社の担当者をだまして、自分が用意したスマホに移してしまいます。

　契約変更ですから、もちろん簡単にはできません。
　詐欺師は「スマホを紛失したので、新しいスマホで電話番号を使えるようにしてほしい」というようなことを標的に成りすまして電話会社の担当者にお願いするわけです。電話会社は本人確認をするので、詐欺師は標的の身分証明書、たとえば運転免許証を偽造して用意しておきます。運転免許証には本名、生年月日、現住所が入っているので、そういう情報を例えば標的のFBから盗みます。だから、SNSでは本名や住所や生年月日を使ってはいけないのです。ブログやインスタグラムを本名でやったり、そのなかで生年月日を公開したり、電話番号を書き込んだり、現住所付近で撮った写真をアップするなんてことは、リスクを伴っているのです。アップする写真のGPS情報からも、本人がどこにいるか簡単にピックアップできます。

　本人は60歳なのに、契約変更を申し入れた人物が40歳代でも、電話会社の担当者は不自然だと思わずに契約変更に応じることがあります。実例としてあるのです。もちろん被害に遭ったときは、電話会社の本人確認不備を理由に訴訟は可能な場合がありうるのでしょうが、手続きが面倒ですし、失ったものを全部取り返せるかどうかもわかりません。

　SIMカードに電話番号を移してもらえば、あとはDポイントの引き落とし口座のパスワードを変更できます。2段階認証になっていても、スマホへショートメールで認証するようになっていると、詐欺師のスマホへ通知がなされるので、パスワードの変更が可能になります。本人に成りすましてDポイントカードで物が買えます。

　銀行口座がわかればそのパスワードも2段階認証でも変更できます。
　あとは標的の銀行口座から他の銀行口座へ振り替えて引き出したらいいだけです。ダミーの銀行口座もネットで売買されていますので、それを使えばいい。あっというまに預金残高がゼロになります。

　キャッシュカードには口座番号が表示されているものと、表示されていないものがあります。万が一落とした時のことを考えて、口座番号の表示のないものに変えておいた方がいいでしょう。口座番号情報がなければ、預金は無事です。
　ビットコインもpaypayも電話番号を利用した2段階認証を使っていたら同じ理由でリスクがあります。

　電子決済で利用する銀行口座は50万円くらいに残高を維持して置き、日常的にチェックするのがリスクを小さくする方法の一つです。全部持っていかれても50万円ですみます。
　電話番号利用の2段階認証をやめて、他の方法に変えることでもリスクは軽減できます。関連するサイトを貼り付けるので、そちらを参照してください。

　「便利なものほどリスクも大きい」というのがモノの道理です。

*「スマホ不通、なぜか解約...SIMスワップ被害の実態」
**「SIMスワップ詐欺の手口とその対策」

＜マイナンバーカードのリスク＞
　高校や大学の同窓会名簿とマイナンバーカード情報を詐欺師が手に入れたと仮定しよう。名簿の氏名・住所や年齢から住基コードを検索したら、その人の個人情報をキャッチできる。
　銀行口座やクレジットカード情報の漏洩があれば、そういうものとマイナンバーカード情報を突合してみるとなにがわかるのか。生年月日をパスワードにしていたら、偽造キャッシュカードで預金の引きおろしや、他口座への振り込みが可能になる。SIMスワップ詐欺も楽にできるようになる。

　マイナンバーシステムのセキュリティは大丈夫か？河野デジタル大臣はこの分野の仕事をやりうるほどのデジタル技術についての専門知識はないし、スキルもないから、具体的な仕事の指示ができない。
　官僚もまた同じようなもので、システム開発の仕様書すら書けず、業者へ丸投げしているのが現実である。「新型コロナ感染者等情報把握・管理システム（HER-SYS）」は入力項目が多すぎて、運用段階で機能不全を起こしたままである。「印鑑ゼロ」の掛け声も、いつか消えてしまったようだ。
　日本にはデジタル技術に詳しい国会議員も、官僚も決定的に不足しており、今後もこの分野の人材不足は解消されそうにない。

　高校で何科に属していようと、また理系文系コースの区別なく、数Ⅲが選択可能にするような改革から始めないといけないだろう。もう50年以上前から、数学は商業科や工業科や普通科文系コースにも必要な科目になっている。文部官僚は文系出身者がほとんどで、理系の技術が必要な仕事をしてきていないから、そうした面のセンスが鈍いのだろう。いまごろ30年遅れでICT技術の導入なんて大騒ぎしているのだが、ICT技術導入の担当責任者はさぞかし仕事がたいへんだろう。一気に民間企業のICT利用と同じレベルの課題にチャレンジせざるを得なくなったのだが、たまたま仕事がやり切れそうな人材がこの仕事の責任者になっていることが一縷の望みだ。
　ZoomやTeams、そしてChatGPTの利用がまさにそうした課題である。民間企業と学校現場が、これらのツール利用に関しては最前線で並んでしまった。
　民間企業ではシステム部門があり、社員数の2～5％くらいをこの分野に割いている。企業規模が大きい場合は、子会社化しているケースが多い。文科省にはこうした組織がない点も、学校へICT技術を導入する際の制約条件になっている。サーバー管理者がいないのだ。民間企業でサーバー管理部門がないとか、サーバー管理者がいないなんて状況は考えられない。サーバーの維持管理やセキュリティの管理は専門技術者でなければできない業務である。

＜スマホをなくしたときの対処＞5/14追記
　まずはスマホを探すこと。キャリアが紛失スマホがどこにあるのか探すサービスを提供しているので、それの契約があれば、それを利用して探してもらう。危ないと思ったら、
①キャリア（たとえば、ドコモやAU）に連絡して、MDMでリモートロックやリモートワイプ（リモートでのデータの消去）をしてもらうか、回線停止手続きをする。
②個別アプリの停止手続きを取る。
　特に電子決済に関わるものは最優先で処理する。
③アプリのパスワードはすべて変更する。

　事前準備なしにはできませんので、「スマホをなくしたときの対処」というノートをつくってメモっておきましょう。次のサイトに詳しく載っているので、参照してください。
*「スマホをなくした！　というときに取るべき行動とは？」


にほんブログ村