eSIM普及で変わる電話番号防衛の前提

eSIMは、物理SIMカードを差し替える手間を減らし、オンライン契約から開通までの時間を大きく短縮しました。NTTドコモは、eSIMならWeb申し込みから最短1時間程度で通信サービスを利用できると案内しています。端末交換、海外渡航、法人端末の配布では、この速さが明確な価値になります。

一方で、電話番号は銀行、決済アプリ、SNS、クラウドサービスの本人確認に広く使われています。eSIMの問題は、内蔵チップそのものが危険という単純な話ではありません。問題の核心は、電話番号を別端末へ移す手続きが速くなるほど、再発行・移行の本人確認が攻撃者の標的になる点です。利便性を保ったまま、電話番号を「本人そのもの」と扱わない運用へ移る必要があります。

SIMスワップがSMS認証を突破する仕組み

eSIM再発行が短時間化する理由

eSIMは、スマートフォン本体に組み込まれたデジタルSIMに通信事業者のプロファイルを書き込む仕組みです。Appleは、iPhoneで複数のeSIMを管理でき、対応事業者であればクイック転送、事業者によるアクティベーション、QRコード、アプリなど複数の方法で設定できると説明しています。GSMAも、eSIMは旅行者の現地データプラン利用や複数プロファイル管理を容易にすると位置づけています。

この仕組みは、製造業でいえば部品交換を減らしてソフトウェア設定で出荷後の仕様変更を行う発想に近いものです。物流、在庫、店頭作業を減らせるため、通信事業者にとっては取得コストを下げ、利用者にとっては待ち時間を削る効果があります。Trusted Connectivity Allianceによると、2025年の世界のeSIM出荷は6億500万件に達し、前年比18%増でした。消費者向けeSIMプロファイルのダウンロードも43%増えています。

しかし、工程が速くなるほど、工程管理の弱点は被害速度に直結します。従来の物理SIMでは、攻撃者が店舗に出向き、本人確認を突破してSIMカードを受け取る必要がありました。eSIMでは、事業者の会員サイトやアプリのログイン、再発行申請、プロファイル発行が短時間で完了する設計になり得ます。攻撃者がID、パスワード、メール認証、本人確認情報のいずれかを突破すれば、本人の端末から通信権限を奪える可能性があります。

楽天モバイルでは2024年、身に覚えのないeSIM再発行が問題化し、再発行時のワンタイム認証をSMSに限定する変更が報じられました。これは再発行の安全性を高める対策ですが、同時にタブレットなどSMSを受けられない端末の利用者には手続き上の不便も生みます。セキュリティ対策は単に厳しくすればよいわけではなく、例外処理をどう扱うかまで含めた運用設計が問われます。

決済とネット銀行に波及する被害経路

SIMスワップの本質は、電話番号の乗っ取りです。攻撃者はまずフィッシングメール、偽サイト、SNSの誘導などで氏名、住所、生年月日、携帯電話番号、ログイン情報を集めます。その情報を使って携帯電話会社に本人を装い、SIMカードやeSIMの再発行、MNPによる番号移行を行います。再発行が成立すると、被害者の端末は突然圏外になり、攻撃者側の端末でSMSや通話を受けられる状態になります。

警察庁のサイバー事案資料は、偽造した本人確認書類を提示してSIMカード再発行を依頼し、不正に入手したSIMでSMSの二段階認証番号を受け取り、不正送金を行う手口を説明しています。同資料では、警察庁が2022年9月に総務省と連携し、店舗での再発行時などの本人確認強化を大手携帯電話事業者に要請したとも記されています。その後、令和5年5月以降はSIMスワップによる不正送金被害が確認されていないとされました。

ただし、それで脅威が消えたわけではありません。FNNの報道では、2022年に神戸市の男性がMNPを悪用され、約1000万円を不正送金された事例が紹介されています。2023年5月には、全国初のSIMスワップ詐欺摘発として、約3カ月で25人の口座から計9000万円以上を不正送金した疑いが報じられました。店舗での本人確認が強くなれば、攻撃者はオンラインアカウントやeSIM再発行の認証、本人確認書類の入手、決済アプリの復旧手続きへ標的を移します。

2026年1月にはPayPayが、SIMスワップ詐欺への注意を公式に呼びかけました。同社は、PayPayアプリへ不正ログインされ、意図しない決済や送金、銀行口座やクレジットカードへの申し込みが確認されていると説明しています。さらに、突然携帯電話番号が利用できなくなった場合は、速やかに携帯電話会社へ連絡するよう促しています。これは、圏外になった瞬間から決済・銀行・カードの被害確認までを同時に進める必要があることを示しています。

携帯電話不正利用防止法改正の実効性

ICチップ読み取りが狙う偽造書類対策

制度面では、本人確認の工程が大きく見直されています。総務省は2026年3月、携帯電話不正利用防止法施行規則の一部改正案について意見募集を行いました。報道資料では、電話を用いた特殊詐欺被害が深刻化し、犯行利用された携帯電話が精巧に偽変造された本人確認書類で契約されていることが背景に挙げられています。

改正案の柱は、対面の携帯電話契約時などの本人確認について、原則としてマイナンバーカード等のICチップに記録された情報を読み取る方式へ移すことです。省令案では、写真・半導体集積回路付き本人確認書類を提示させ、氏名、住居、生年月日、写真情報を読み取る方法が示されています。オンラインでは、通信事業者が提供するソフトウェアを使い、本人確認用画像情報とICチップ内の情報の送信を受ける方法も記載されています。

この変更は、紙面や画像の目視確認に依存した工程を、暗号技術を含むICチップ確認へ寄せるものです。偽造免許証や偽造マイナンバーカードの外観が精巧でも、ICチップの情報を正しく読み取れなければ通過しにくくなります。現場の販売代理店にとっては、本人確認を「店員の経験値」から「機械的な検証工程」へ移す意味があります。

もっとも、ICチップ確認は万能ではありません。本人確認書類の提示時点を強くしても、通信事業者の会員IDが奪われた場合、アプリ上の再発行フローが弱い場合、サポート窓口の例外対応が甘い場合には、別の経路が狙われます。工場の検査工程と同じで、入口検査を強化しても、保守部品の払い出しや出荷後の変更承認が弱ければ品質事故は起きます。SIMスワップ対策も、契約時だけでなく再発行、MNP、機種変更、アカウント復旧まで一連の工程で見る必要があります。

データSIM本人確認がふさぐ制度の空白

もう一つの論点は、音声通話を伴わないデータ通信専用SIMです。第221回国会の閣法第33号では、法律名と対象を「携帯音声通信」から「携帯通信」へ広げ、データ通信専用回線にも本人確認や記録保存の仕組みを及ぼす方向が示されています。公開されている法案解説では、データ通信専用SIM、eSIM、モバイルルーター向け回線なども対象になり得ると説明されています。

この方向性は、詐欺の通信基盤が音声通話だけではなくなった現実に対応するものです。警察庁の2025年暫定値では、特殊詐欺の認知件数は2万7758件、被害額は約1414.2億円でした。SNS型投資詐欺は9538件、被害額1274.7億円、SNS型ロマンス詐欺は5604件、被害額552.2億円です。詐欺グループは通話だけでなく、SNS、広告、チャット、暗号資産送信、決済アプリを組み合わせます。データ通信だけの回線が匿名性の高い足場になれば、音声SIMだけを規制しても効果は限定的です。

ただし、データSIMの本人確認義務化は、通信サービス全体の設計にも影響します。IoT機器、決済端末、見守り端末、物流トラッカー、車載通信などは、音声通話をしないデータ回線を大量に使います。GSMAは、eSIMが低消費電力広域ネットワークや大規模IoT展開の運用を簡素化するとしています。犯罪に使われるリスクを下げるための規制が、正当な産業用途の回線調達や保守交換を遅らせるなら、社会実装の速度を落としかねません。

そのため、法改正後の焦点は「本人確認を厳しくしたか」だけではありません。誰が、どの端末を、どの用途で、どの範囲まで使うのかを記録し、異常な回線数、短期間の再発行、通常と違う端末への移行、決済アプリの急な登録変更を横断的に検知できるかが問われます。携帯会社、販売代理店、決済事業者、金融機関がそれぞれ単独で守るだけでは、攻撃者はもっとも弱い窓口を探します。

利便性と安全性の両立を阻む運用課題

eSIMの安全対策で難しいのは、正規利用者の困りごとと攻撃者の口実が似ている点です。端末をなくした、機種変更した、eSIMプロファイルを削除した、海外から接続できないという相談は本物でも起きます。攻撃者も同じ言い分で窓口に近づきます。ここで一律に厳格化すれば、正規利用者は復旧できず、緩めれば攻撃者に抜け道を与えます。

特に、SMSだけに頼る再発行認証には構造的な限界があります。本人端末が故障・紛失している場合、SMSを受け取れないため、救済の例外処理が必要になります。ところが、その例外処理こそ攻撃者が狙う部分です。パスワード、メール、SMS、本人確認書類、端末情報、過去の利用履歴を組み合わせ、リスクに応じて追加確認を求める段階的な設計が欠かせません。

利用者側の負担も無視できません。ICチップ読み取りにはNFC対応スマートフォンやカードリーダーが必要になる場合があります。高齢者、訪日外国人、スマートフォンを持たない人、法人で大量回線を扱う担当者には、手続きが複雑になります。小規模MVNOや販売代理店には、本人確認システム、店舗端末、教育、監査のコストがかかります。セキュリティ強化は、現場が回らなければ形だけの規制になります。

産業面では、eSIMは通信のサプライチェーンをソフトウェア化する技術です。調達から開通、故障交換、廃棄までをデータで管理できれば、企業の端末運用は強くなります。一方で、プロファイル発行権限や管理者アカウントが侵害されれば、被害は個人のスマートフォンより広くなります。便利な工程ほど、権限分離、承認ログ、異常検知、停止手順を先に設計しておく必要があります。

個人と企業が今日整える電話番号防衛

個人がまず行うべきことは、電話番号を最後の防壁にしないことです。銀行、証券、決済、メール、クラウドのパスワードを使い回さず、可能なサービスでは認証アプリ、パスキー、セキュリティキーを優先します。SMS認証しか選べないサービスでは、取引通知、送金限度額、ログイン通知、端末追加通知を必ず有効にします。携帯会社の会員IDにも強いパスワードと二段階認証を設定し、メールアカウントの保護を同じ水準に引き上げる必要があります。

突然圏外になり、再起動や通信障害情報でも説明できない場合は、端末故障と決めつけないことが重要です。別の電話や家族の端末から携帯会社へ連絡し、SIM再発行やMNPの履歴を確認します。同時に、決済アプリ、ネット銀行、クレジットカード、証券口座の取引履歴を確認し、身に覚えのない動きがあれば即時停止を依頼します。PayPayが示すように、通信不能の発見と金融被害の確認は同時に進めるべき初動です。

企業は、SMSを管理者アカウントの復旧手段に残していないかを棚卸しする必要があります。役員、経理、システム管理者、広報SNS担当の電話番号は、攻撃者にとって価値が高い認証要素です。MDMで端末状態を監視し、eSIM再発行やMNP申請には複数人承認を入れ、退職・異動時の電話番号とアカウントのひも付けを解除します。eSIM時代の防御は、端末を守るだけでなく、電話番号を使う全サービスの依存関係を可視化するところから始まります。

参考資料:

• e-Gov パブリック・コメント 携帯電話不正利用防止法施行規則の一部改正案
• 総務省 報道資料 PDF
• 総務省 省令案 PDF
• 警察庁 令和5年におけるサイバー空間をめぐる脅威の情勢等について PDF
• 警察庁 令和7年における特殊詐欺及びSNS型投資・ロマンス詐欺の認知・検挙状況等について
• PayPay 第三者が不正に電話番号を乗っ取る「SIMスワップ詐欺」にご注意ください
• ケータイ Watch PayPayが「SIMスワップ」に注意喚起
• FNNプライムオンライン 「スマホつながらない…」新手のSIMスワップ詐欺
• マイナビニュース 楽天モバイル、eSIM再発行時のSMS認証を必須に
• NTTドコモ eSIMについて
• Apple Support Set up eSIM on iPhone
• GSMA The Mobile Economy 2026 PDF
• Trusted Connectivity Alliance eSIM Growth in 2025
• みらい議会 携帯電話の契約時の本人確認を厳しくし、詐欺に使われにくくする法律