採用情報

お問い合わせ

BLOG

電子認証局サービス BLOG

SIMスワップ詐欺とは?

~ 携帯電話事業者に求められる本人確認の強化と厳格化 ~

不正送金被害の急増

2023 年 8 月、警察庁と金融庁が「 インターネットバンキングに係る不正送金事犯による被害急増 」について注意喚起を行っています。2023 年 8 月 4 日時点で、2023 年上半期における被害件数は、過去最多の 2,322 件となり、被害額は約 30 億円となっています。被害の多くはフィッシング詐欺によるものとみられており、金融機関を装ったフィッシング詐欺サイトに誘導する電子メールが多数確認されています。

 不正送金発生状況のグラフ

(出典)警察庁「 不正送金発生状況

SIM スワップ詐欺とは?

通信販売サイトの ID/パスワードやクレジットカード番号などの個人情報を窃取するフィッシング詐欺が急増しており、スマートフォンを乗っ取る「SIM スワップ詐欺」という手口があります。「SIM スワップ」は、他人になりすまして SIM カードを乗っ取るもので、攻撃者が相手の SIM を乗っ取った後、その SIM で受信できる SMS を使った二段階認証を突破し、オンラインバンキングなどに不正ログインを行う攻撃です。
具体的な手口は、犯罪グループがフィッシング詐欺サイト(偽サイト)で金融機関の口座情報と本人確認のため、運転免許証など顔写真入りの身分証明書の画像を送信するように誘導します。
犯罪グループはその身分証明書の画像をもとに、顔写真を他人のものに差し替えた偽の身分証明書を作成し、携帯電話事業者に偽の身分証明書を提示して、スマートフォンを紛失したなどと言い、新しい SIM カードを発行するように依頼します。
身分証明書が精巧に偽造されていれば、携帯電話事業者はその身分証明書が偽の身分証明書と気づくことはできないかも知れません。そして、犯罪グループは不正に再発行した SIM カードを悪用して不正送金などを行っています。

本人確認の強化と厳格化

警察庁は、総務省と連携し、SIM スワップ詐欺による不正送金などの犯罪が増加している状況を踏まえて、2022 年 9 月に携帯電話事業者に対して「携帯電話機販売店における本人確認の強化」を要請しています。大手携帯電話事業者が同要請への対応を行ったことで、2023 年上半期における SIM スワップ詐欺による不正送金被害は減少しています。

非対面取引におけるオンラインで完結する本人確認については、本人確認業務に関する法令が定められています。口座開設では、マネーロンダリングやテロ資金供与防止を目的に、本人確認などについて定めた「犯罪収益移転防止法(犯罪による収益の移転防止に関する法律)※1」があります。また、携帯電話契約では、契約者の本人確認のうえ契約を行うことを義務付けた携帯電話不正利用防止法(携帯音声通信事業者による契約者等の本人確認及び携帯音声通信役務の不正な利用の防止に関する法律)※2」があります。

改正犯罪収益移転防止法施行規則の「第 6 条 顧客等の本人特定事項の確認方法(自然人の本人確認方法)」にデジタル完結での本人確認の要件が定められています。デジタル完結できる本人確認方法として有用な「へ ※3」「ワ ※4」は、本人確認書類の IC チップに記録された情報を読み取り、その真贋を電子的に確認することで、本人確認書類の改ざんや偽造を確実に検出できるため、より厳格な本人確認が実現できます。

 厳格な本人確認方法

(厳格な本人確認について詳しくは、ZDNet Japan に寄稿しました「 本人確認のデジタル化 -- 後編:法令と確認方法別の利点や弱点とは 」で解説しています。)

金融機関の口座開設アプリなどにも、より厳格な本人確認方法が利用されています。サイバートラストの iTrust 本人確認サービスは、金融サービスなどのオンラインの非対面サービスと連携して公的個人認証サービスを活用した非対面での本人確認を実現しています。

iTrust 本人確認サービスでは、オプションサービスとして、 eKYC ライブラリおよび券面情報検証サービスを提供しています。これらのオプションサービスにより犯罪収益移転防止法に対応した、バックオフィス業務を含む本人確認の 100% デジタル完結を支援します。eKYC ライブラリをお客様のアプリ(iOS/Android/Windows)に組み込むことで、地方公共団体情報システム機構(J-LIS)が提供している「公的個人認証サービス利用者クライアントソフト」 を別途ダウンロードおよびインストールすることなく、マイナンバーカードを用いた公的個人認証による本人確認が可能となり、利用者の利便性を格段に向上します。さらに運転免許証や在留カードの IC チップ情報の読み取りと、読み取った情報の署名検証による真贋判定による偽造防止をすることで、券面情報を用いた厳格な本人確認を支援します。

※1
マネーロンダリングやテロ資金供与防止を目的として、特定の事業者が取引する際の本人確認などについて定めた法律。
※2
携帯電話事業者に契約者の身分証明書による本人確認を行うことを義務づけた法律。匿名の携帯電話が振り込め詐欺などの犯罪に利用されていたことを受けて 2006 年 4 月に施行された。
※3
犯収法規則第 6 条 1 項 1 号ヘで定められている特定事業者が提供するソフトウェアを使用して、本人の容貌の画像と写真付き本人確認書類に組み込まれた IC チップに記録された情報(氏名、住所、生年月日、写真)の送信を受ける方法のこと。
※4
犯収法規則6条1項1号ワで定められているマイナンバーカードによる公的個人認証のこと。
本記事に関連するリンク
デジタルトランスフォーメーションのための電子認証基盤 iTrust
SSL/TLS サーバー証明書 SureServer Prime
組込み Linux にプラスして 長期間の製品ライフサイクルをサポート EM+PLS