kinyukeizai.com
kinyukeizai.com

eSIM悪用SIMスワップを防ぐ携帯法改正後の個人必須防衛策

by 伊藤 大輝
URLをコピーしました

eSIM普及で変わる電話番号防衛の前提

eSIMは、物理SIMカードを差し替える手間を減らし、オンライン契約から開通までの時間を大きく短縮しました。NTTドコモは、eSIMならWeb申し込みから最短1時間程度で通信サービスを利用できると案内しています。端末交換、海外渡航、法人端末の配布では、この速さが明確な価値になります。

一方で、電話番号は銀行、決済アプリ、SNS、クラウドサービスの本人確認に広く使われています。eSIMの問題は、内蔵チップそのものが危険という単純な話ではありません。問題の核心は、電話番号を別端末へ移す手続きが速くなるほど、再発行・移行の本人確認が攻撃者の標的になる点です。利便性を保ったまま、電話番号を「本人そのもの」と扱わない運用へ移る必要があります。

SIMスワップがSMS認証を突破する仕組み

eSIM再発行が短時間化する理由

eSIMは、スマートフォン本体に組み込まれたデジタルSIMに通信事業者のプロファイルを書き込む仕組みです。Appleは、iPhoneで複数のeSIMを管理でき、対応事業者であればクイック転送、事業者によるアクティベーション、QRコード、アプリなど複数の方法で設定できると説明しています。GSMAも、eSIMは旅行者の現地データプラン利用や複数プロファイル管理を容易にすると位置づけています。

この仕組みは、製造業でいえば部品交換を減らしてソフトウェア設定で出荷後の仕様変更を行う発想に近いものです。物流、在庫、店頭作業を減らせるため、通信事業者にとっては取得コストを下げ、利用者にとっては待ち時間を削る効果があります。Trusted Connectivity Allianceによると、2025年の世界のeSIM出荷は6億500万件に達し、前年比18%増でした。消費者向けeSIMプロファイルのダウンロードも43%増えています。

しかし、工程が速くなるほど、工程管理の弱点は被害速度に直結します。従来の物理SIMでは、攻撃者が店舗に出向き、本人確認を突破してSIMカードを受け取る必要がありました。eSIMでは、事業者の会員サイトやアプリのログイン、再発行申請、プロファイル発行が短時間で完了する設計になり得ます。攻撃者がID、パスワード、メール認証、本人確認情報のいずれかを突破すれば、本人の端末から通信権限を奪える可能性があります。

楽天モバイルでは2024年、身に覚えのないeSIM再発行が問題化し、再発行時のワンタイム認証をSMSに限定する変更が報じられました。これは再発行の安全性を高める対策ですが、同時にタブレットなどSMSを受けられない端末の利用者には手続き上の不便も生みます。セキュリティ対策は単に厳しくすればよいわけではなく、例外処理をどう扱うかまで含めた運用設計が問われます。

決済とネット銀行に波及する被害経路

SIMスワップの本質は、電話番号の乗っ取りです。攻撃者はまずフィッシングメール、偽サイト、SNSの誘導などで氏名、住所、生年月日、携帯電話番号、ログイン情報を集めます。その情報を使って携帯電話会社に本人を装い、SIMカードやeSIMの再発行、MNPによる番号移行を行います。再発行が成立すると、被害者の端末は突然圏外になり、攻撃者側の端末でSMSや通話を受けられる状態になります。

警察庁のサイバー事案資料は、偽造した本人確認書類を提示してSIMカード再発行を依頼し、不正に入手したSIMでSMSの二段階認証番号を受け取り、不正送金を行う手口を説明しています。同資料では、警察庁が2022年9月に総務省と連携し、店舗での再発行時などの本人確認強化を大手携帯電話事業者に要請したとも記されています。その後、令和5年5月以降はSIMスワップによる不正送金被害が確認されていないとされました。

ただし、それで脅威が消えたわけではありません。FNNの報道では、2022年に神戸市の男性がMNPを悪用され、約1000万円を不正送金された事例が紹介されています。2023年5月には、全国初のSIMスワップ詐欺摘発として、約3カ月で25人の口座から計9000万円以上を不正送金した疑いが報じられました。店舗での本人確認が強くなれば、攻撃者はオンラインアカウントやeSIM再発行の認証、本人確認書類の入手、決済アプリの復旧手続きへ標的を移します。

2026年1月にはPayPayが、SIMスワップ詐欺への注意を公式に呼びかけました。同社は、PayPayアプリへ不正ログインされ、意図しない決済や送金、銀行口座やクレジットカードへの申し込みが確認されていると説明しています。さらに、突然携帯電話番号が利用できなくなった場合は、速やかに携帯電話会社へ連絡するよう促しています。これは、圏外になった瞬間から決済・銀行・カードの被害確認までを同時に進める必要があることを示しています。

携帯電話不正利用防止法改正の実効性

ICチップ読み取りが狙う偽造書類対策

制度面では、本人確認の工程が大きく見直されています。総務省は2026年3月、携帯電話不正利用防止法施行規則の一部改正案について意見募集を行いました。報道資料では、電話を用いた特殊詐欺被害が深刻化し、犯行利用された携帯電話が精巧に偽変造された本人確認書類で契約されていることが背景に挙げられています。

改正案の柱は、対面の携帯電話契約時などの本人確認について、原則としてマイナンバーカード等のICチップに記録された情報を読み取る方式へ移すことです。省令案では、写真・半導体集積回路付き本人確認書類を提示させ、氏名、住居、生年月日、写真情報を読み取る方法が示されています。オンラインでは、通信事業者が提供するソフトウェアを使い、本人確認用画像情報とICチップ内の情報の送信を受ける方法も記載されています。

この変更は、紙面や画像の目視確認に依存した工程を、暗号技術を含むICチップ確認へ寄せるものです。偽造免許証や偽造マイナンバーカードの外観が精巧でも、ICチップの情報を正しく読み取れなければ通過しにくくなります。現場の販売代理店にとっては、本人確認を「店員の経験値」から「機械的な検証工程」へ移す意味があります。

もっとも、ICチップ確認は万能ではありません。本人確認書類の提示時点を強くしても、通信事業者の会員IDが奪われた場合、アプリ上の再発行フローが弱い場合、サポート窓口の例外対応が甘い場合には、別の経路が狙われます。工場の検査工程と同じで、入口検査を強化しても、保守部品の払い出しや出荷後の変更承認が弱ければ品質事故は起きます。SIMスワップ対策も、契約時だけでなく再発行、MNP、機種変更、アカウント復旧まで一連の工程で見る必要があります。

データSIM本人確認がふさぐ制度の空白

もう一つの論点は、音声通話を伴わないデータ通信専用SIMです。第221回国会の閣法第33号では、法律名と対象を「携帯音声通信」から「携帯通信」へ広げ、データ通信専用回線にも本人確認や記録保存の仕組みを及ぼす方向が示されています。公開されている法案解説では、データ通信専用SIM、eSIM、モバイルルーター向け回線なども対象になり得ると説明されています。

この方向性は、詐欺の通信基盤が音声通話だけではなくなった現実に対応するものです。警察庁の2025年暫定値では、特殊詐欺の認知件数は2万7758件、被害額は約1414.2億円でした。SNS型投資詐欺は9538件、被害額1274.7億円、SNS型ロマンス詐欺は5604件、被害額552.2億円です。詐欺グループは通話だけでなく、SNS、広告、チャット、暗号資産送信、決済アプリを組み合わせます。データ通信だけの回線が匿名性の高い足場になれば、音声SIMだけを規制しても効果は限定的です。

ただし、データSIMの本人確認義務化は、通信サービス全体の設計にも影響します。IoT機器、決済端末、見守り端末、物流トラッカー、車載通信などは、音声通話をしないデータ回線を大量に使います。GSMAは、eSIMが低消費電力広域ネットワークや大規模IoT展開の運用を簡素化するとしています。犯罪に使われるリスクを下げるための規制が、正当な産業用途の回線調達や保守交換を遅らせるなら、社会実装の速度を落としかねません。

そのため、法改正後の焦点は「本人確認を厳しくしたか」だけではありません。誰が、どの端末を、どの用途で、どの範囲まで使うのかを記録し、異常な回線数、短期間の再発行、通常と違う端末への移行、決済アプリの急な登録変更を横断的に検知できるかが問われます。携帯会社、販売代理店、決済事業者、金融機関がそれぞれ単独で守るだけでは、攻撃者はもっとも弱い窓口を探します。

利便性と安全性の両立を阻む運用課題

eSIMの安全対策で難しいのは、正規利用者の困りごとと攻撃者の口実が似ている点です。端末をなくした、機種変更した、eSIMプロファイルを削除した、海外から接続できないという相談は本物でも起きます。攻撃者も同じ言い分で窓口に近づきます。ここで一律に厳格化すれば、正規利用者は復旧できず、緩めれば攻撃者に抜け道を与えます。

特に、SMSだけに頼る再発行認証には構造的な限界があります。本人端末が故障・紛失している場合、SMSを受け取れないため、救済の例外処理が必要になります。ところが、その例外処理こそ攻撃者が狙う部分です。パスワード、メール、SMS、本人確認書類、端末情報、過去の利用履歴を組み合わせ、リスクに応じて追加確認を求める段階的な設計が欠かせません。

利用者側の負担も無視できません。ICチップ読み取りにはNFC対応スマートフォンやカードリーダーが必要になる場合があります。高齢者、訪日外国人、スマートフォンを持たない人、法人で大量回線を扱う担当者には、手続きが複雑になります。小規模MVNOや販売代理店には、本人確認システム、店舗端末、教育、監査のコストがかかります。セキュリティ強化は、現場が回らなければ形だけの規制になります。

産業面では、eSIMは通信のサプライチェーンをソフトウェア化する技術です。調達から開通、故障交換、廃棄までをデータで管理できれば、企業の端末運用は強くなります。一方で、プロファイル発行権限や管理者アカウントが侵害されれば、被害は個人のスマートフォンより広くなります。便利な工程ほど、権限分離、承認ログ、異常検知、停止手順を先に設計しておく必要があります。

個人と企業が今日整える電話番号防衛

個人がまず行うべきことは、電話番号を最後の防壁にしないことです。銀行、証券、決済、メール、クラウドのパスワードを使い回さず、可能なサービスでは認証アプリ、パスキー、セキュリティキーを優先します。SMS認証しか選べないサービスでは、取引通知、送金限度額、ログイン通知、端末追加通知を必ず有効にします。携帯会社の会員IDにも強いパスワードと二段階認証を設定し、メールアカウントの保護を同じ水準に引き上げる必要があります。

突然圏外になり、再起動や通信障害情報でも説明できない場合は、端末故障と決めつけないことが重要です。別の電話や家族の端末から携帯会社へ連絡し、SIM再発行やMNPの履歴を確認します。同時に、決済アプリ、ネット銀行、クレジットカード、証券口座の取引履歴を確認し、身に覚えのない動きがあれば即時停止を依頼します。PayPayが示すように、通信不能の発見と金融被害の確認は同時に進めるべき初動です。

企業は、SMSを管理者アカウントの復旧手段に残していないかを棚卸しする必要があります。役員、経理、システム管理者、広報SNS担当の電話番号は、攻撃者にとって価値が高い認証要素です。MDMで端末状態を監視し、eSIM再発行やMNP申請には複数人承認を入れ、退職・異動時の電話番号とアカウントのひも付けを解除します。eSIM時代の防御は、端末を守るだけでなく、電話番号を使う全サービスの依存関係を可視化するところから始まります。

参考資料:

伊藤 大輝

テクノロジー・産業動向

製造業のDX・新素材開発からモビリティの未来まで、技術革新がもたらす産業構造の変化を現場視点で伝える。

関連記事

スマホ遺言制度導入で問われる本人確認とAI改ざん防止策の要点

2026年の民法改正案でパソコン・スマホ作成の保管証書遺言が導入へ進む一方、AI音声や身内の端末操作によるなりすましが新リスクに。法務局保管、JPKI、eKYC、監査ログを組み合わせた本人確認と、サブスクやネット銀行を含むデジタル遺品管理まで、家族が今整える終活実務と制度の両立点を深く具体的に解説。

検索上位でも危険 鉄道・旅行予約の偽サイト詐欺を見抜く最新対策

検索上位やスポンサーリンク経由でも偽サイトは紛れ込みます。2026年2月のフィッシング報告は5万7096件、交通系は2.9%。えきねっと、EX、じゃらんを狙う手口、URL確認、事業者情報の見方、入力後の初動、ブックマークとブラウザ保護の使い分けまで、鉄道予約と旅行予約で被害を避ける実践策を具体的に解説。

PayPay最新動向と新生活で外せない設定・防犯対策の要点整理

PayPayの最新動向を押さえるには、決済機能だけでなく本人確認、銀行連携、ポイント設計まで一体で見る必要がある。2026年春の市場環境を踏まえ、新生活で見落としやすい初期設定と、フィッシングやSIMスワップ対策の要点を実務目線で解説。便利さと防犯を両立する確認項目もまとめて把握できる。初心者の見直しにも有効。

SNS型投資詐欺の被害が爆増、注意すべき手口と対策

SNS型投資詐欺の被害は2025年に約1,827億円へ達し、前年比43.6%増の過去最悪となった。Instagram、Facebook、LINEが入口となり、信用を装って送金へ誘導する手口はなぜ強いのか。著名人なりすましや少額成功体験の罠を含め、急増の構造、典型パターン、被害を避ける具体策を最新データから解説する。

最新ニュース

日本人転出超過ランキングで読む自治体人口移動と地域経済の明暗

2025年の住民基本台帳人口移動報告では、日本人移動者の転出超過が広島市、神戸市、北九州市などで目立ちました。川口市や長崎市も上位に入り、雇用、住宅、外国人流入、都市機能の差が自治体経営をどう左右するかを、出生減、東京圏集中、コンパクトシティ政策と重ねて地域経済の持続性と自治体の政策課題まで読み解く。

LINE買い物アプリ化で進むPayPay経済圏の囲い込み戦略

月間1億人が使うLINEは、ショッピングタブ、LYPプレミアム、ミニアプリ課金、PayPay連携を重ね、広告依存から消費収益へ軸足を移す。無料メッセンジャーの利便性とデータ活用、出店者負担、競争環境の変化を一次資料から読み解く。新料金開始後の勝ち筋とリスク、消費者と店舗の判断軸を実務視点で詳しく解説。

きれいなノート信仰を崩す間違い活用と復習設計の学習科学新常識

きれいなノートほど成績が伸びるとは限りません。手書き、検索練習、形成的フィードバック、間違いの保存という学習科学の知見をもとに、消しゴムで整えるよりも試行錯誤を残すノートが理解と復習を強くする理由、家庭や学校で今日から使える実践法、デジタルノートとの使い分け、評価の注意点まで詳しく具体的に読み解く。

プルデンシャル生命の顧客情報漏洩が映す営業管理不全と統制改革

プルデンシャル生命で約600人規模とされる顧客情報漏洩が浮上しました。金銭不祥事で新規契約販売を自粛する同社に、紙資料の持ち出し管理、個人情報保護法、不正競争防止法上の営業秘密、営業社員への統制という4つの課題が重なります。保険契約者と投資家が見るべき財務影響と経営ガバナンス改革の実効性を読み解く。

社内チャットの絵文字問題で見えたZ世代社員と上司の新しい距離感

SlackとDuolingoの調査では同僚への絵文字利用は53%、上司には使わない人が30%。MicrosoftはTeamsのチャット送信が2020年比32%増えたと示す。Z世代の表現を礼儀違反と断じる前に、業務ログ化した職場で信頼を保つ叱り方、謝罪、スタンプ運用、管理職研修をどう見直すべきかを解説。