SIMスワップ(電話番号乗っ取り)被害対策。個人で出来ることは?
最近SIMスワップ(電話番号乗っ取り)の話を頻繁に聞くので、対策して行かなきゃ、と思っています。
怖くなったきっかけは、市議会議員松田のりゆき氏が、ネットに携帯番号と住所、生年月日を晒していた事で発生したSIMスワップです。
https://king.mineo.jp/reports/272949
https://smart-flash.jp/sociopolitics/284675/
被害額は数百万円。実際には松田氏は被害額を支払う事は無く、ソフトバンクやカード会社の補填でなんとかなったようです。
ちなみに、この人はITに詳しめの人。被害内容を整然と公表していてわかりやすいため、結構震え上がります。
私は、割と多くの人に携帯番号を知らせているんですよね。生年月日は載せていませんが、かなり怖いです。
今後は
●認証用の携帯番号は別物にして、人に知らせない
povoをもう1回線持とうかなー
●ログイン用メールアドレスも認証用は分けて、人に知らせない
(これは対策済み https://king.mineo.jp/reports/79580)
●パスワード使い回しはしない
(これも皆さん対策済みですよね)
●生年月日の登録は慎重にする
⇁ウソ登録にするのが良いか、迷いますねー??
どうしたら良いんだろう
●ネット通販サイトにクレカ番号を記憶させないで都度入力
⇁メインのクレカは番号を覚えているんですが、サブのクレカは覚えていないんですよねー。都度入力は面倒だなあ。
皆様の思い付く対策を是非教えて下さい。
30 件のコメント
コメントするには、ログインまたはメンバー登録(無料)が必要です。
一方で
> ●生年月日の登録は慎重にする
> ⇁ウソ登録にするのが良いか、迷いますねー??
これはウソが申請先で発覚したら…のリスクがあり推奨できかねます。
前のSIMカードを提出させればいいのにと思いましたが、既にそうなっているとのこと。
https://news.mynavi.jp/article/cashless_payment-51/
MVNOは、マイページのパスワードが漏洩しなければ安全ということなんでしょうか?
マイナンバーカードを読み取るアプリありますよね。今回そこまで偽造できてたんでしょうかね?
私の嫌いな、証明書を斜めから撮影したり、顔を動画で撮ったりするeKYCですが、あんなのやっていると、また同じことが起きますよね。全然別の人が、その人の顔写真で作った偽造カードを持って撮影すれば、見抜けないですから。
マイナンバーカードの電子データを使って確認する方法に変えて欲しいです。ドコモのd払いのアプリとかは、本人確認は、結構前からそうだったような気がします。
パスキーが使用可能な場合は使用する。
複数の携帯番号とメールアドレスの組み合わせ。
パスワード・生年月日・クレカ番号は上記の如し。
会員登録についてはきちんと登録してるけど(^^;
>> アッカリ〜ン@_@….,….,…😅 さん
eKYCがダメってことではなくて、「ホ方式」だとダメってことですね。失礼しました。
https://www.cybertrust.co.jp/blog/certificate-authority/business-process-digitalization/strict-identification-method.html
https://www.aspicjapan.org/asu/article/4331
(攻撃側目線だと)
オンラインで不正に再発行する場合でも、配送時本人確認(の突破)は面倒な手間なので
物理SIMだった場合には執着せず、難易度の低そうな eSIMに対象を変更するだろうと思います
配送業者にせよ、ショップ(代理店)にせよ、本人確認の厳密さは担当者の資質次第
(極論すれば、担当者が攻撃側 という可能性も排除しきれない)
> ⇁ウソ登録にするのが良いか、迷いますねー??
例えば、お店のポイントカードとか、どうでもよさそうなのは、万が一漏洩してもいいように、生年月日を変えて登録する(何を登録したかは思えておくことは必要)こともあったりしますが、その後、サービスが統合、進化したりして、クレジットカードとか、本人確認書類と紐づけされたときに、生年月日が合っていない、とかで修正したことはあります。(^_^;)
よく、電話口での本人の確認や、パスワード再発行とかで、本人を確認するための情報の1つとして生年月日が使われたりするので、生年月日の登録は慎重になりますよね。
こちらを読んでいて思ったのですが、
電話番号とSMS認証だけで、PayPayを乗っ取れるってことは、
悪意のある者が、何か適当な会員登録画面を作って、
・「ユーザーIDを決めてください」(これはダミー)
・「本人確認をするので、携帯番号を入力してください」
(このタイミングで入力された携帯番号でPayPayにログインを試みる)
・「届いたSMSに書かれている番号を入力してください」
(ユーザーが入力した番号を使って、PayPayのログインを突破する)
SMSには、PayPayと書かれているので、おかしいと気づくかもしれませんが、自分なんかは、いつもSMS認証の時に数字しか見ていなかったりするので、入力してしまうかも。
今後、そんなパターンも出てくるのかな?
狙われたら、防ぐのは無理ではないかな?
被害を最小限にするには、こまめに確認する事ですね。
これはこれで番号が窃盗される機会が増えるかも。
「保存した情報の漏洩」を危惧しての話題かと思いますが、「ユーザーの入力情報の窃盗(Webスキミングやデジタルスキミング)」もあるので入力回数が増えるとこちらのリスクがあがります。
現時点で2名も被害者いるのか(他にもいそうだけど)
メルアド認証、どちらが安全なのでしょうか?
この対策はソフトバンク系回線の方は今回と同様の被害にあう可能性は高いです。他社は確認してません。
例えば多くの人に教えてる主回線(SB番号)をPayPayに登録してない状態でSIMスワップされても現在使ってるPayPayは確かに乗っ取りされません。
でも犯人がその奪った主回線のSB番号で新規にPayPayアプリを開始して、PayPay外部連携でソフトバンクと連携し、ソフトバンクまとめて支払いを設定すれば、まとめて支払いの限度額までは利用可能と思います。
WiFiをOFFにした回線認証でここまで全部可能です。自分が使ってもいないPayPayで番号が利用されるだけです。
まとめて支払いを利用制限してたとしても、マイソフトバンクに回線認証で入って変更可能と思います。これは利用制限を設定した時のパスワードが必要と思いますが、パスワードを紛失した場合おそらくSB回線でチャットサポート接続して名前と生年月日などを提示すればパスワードリセットして貰えるんじゃないかと思います。
またマイソフトバンクで今回も使われたソフトバンクカードというプリカのバーチャルカードも発行もできる可能性も(この時契約時の4桁暗証番号が必要なら回避できるかも)。
SBとYM(他は知らない)は『パスワードなしの生回線認証』というユーザーサイドに立った(w)面倒を省いたとっても簡単な方法で色んな手続きができる仕組みになっています。
SIMスワップされたらアウトですがSIMスワップはそもそも我々の手落ちじゃないし。お店や店員が「自分たちは回線という財布のマスターキーを扱ってる」という責任を理解してない事にあるのかなと思います。
別所でも書きましたがSIMスワップという犯罪だけではなく、物理SIMを入れてるスマホを落とした、盗まれた、知らぬ間にSIMだけ抜かれた などの場合でも全く同様の被害にあう可能性があります。
なので最低限の防衛策として物理SIMはPIN設定が必須です。
>> _カブ さん
政治家は セキュリティに対して「鈍感」でないと とても務まらない という面もあると思います(政治家は ソフトターゲットの最たるものなので、意図的にセキュリティに目を瞑らないと、活動すら できません)
SMS認証必須なんですねー。
メールアドレス認証にしたら
連携できなくなりました。
という事はSMSの方が安心?
( ˘•ω•˘ ).。oஇ 方針はベスト諦めベターかな
SMS認証だけで突破されるサービスは使わない。例えばYahooはパスワードログインに戻しておく。
Yahooや楽天など、一つの認証を突破されたら芋蔓式にやられるサービスは、連携を最小限にとどめる。
などでしょうか?
>> 退会済みメンバー さん
Yahooはパスワード無効が推奨ですが(パスワードが漏れることが前提)sim乗っ取りだと逆効果、ですね。
この番号もいずれは漏洩するのでしょう。
そこで電話番号が漏洩してもSIMスワップ出来ない電話番号を利用できないかを考えてみました。
・プリペイドSIMでSMS受信出来る物が有ります。
例えば、楽天のプリペイドSIM(データ通信専用)はSMS受信可能なものが有ります。
・自分の名義で無い電話番号を利用する。
例えば、家族の名義のSIMをSMS受信用に利用する。
私は、既に自分名義で無いデータ通信専用のSMS付SIMを利用しているので、今後はこちらに切り替えて行こうと考えてます。
どの携帯電話会社を利用しているかが大手キャリアに比べると判別しづらいですし、そもそも店舗が少なくSIM再発行できるお店は更に限られるので安心ですね。
あとはeoIDなどマイページに入る際のパスワードの設定を使い回しをせずに大小英数字記号を混ぜた10文字以上にしておくと一定水準のセキュリティは保てるでしょう。
ただ、ソフトバンクに限った話となりますと、やはりソフトバンク自体のシステムのセキュリティを高めないことには根本的な改善にはならないでしょうね。
SIMスワップ自体を防ぐのと、SIMスワップ後に不正にネット決済等をされてしまう被害を防ぐのと、両方あると思います。本文は混ぜて書いちゃったので、後で対策とその効果を整理して書こうと思います。
先日のソフトバンクのSIMスワップ問題は、偽のマイナンバーカードを作られたのがきっかけでした。
MVNOやサブブランド等は、ログインを突破されてしまうとSIM再発行をされてしまう可能性がありますね。
現状、本人確認も偽造カードに対応していないし、SIMスワップされたら、あらゆる所にログインできてしまう仕組みになっていたりするようですね。事業者側もセキュリティ強化が必要になって来るでしょうね。
一般的には契約の伴う電話番号の方が、メールより敷居が高いはずですが、yahoo(と連携したpaypay)はSMSだけで認証が通るようなので・・・
というか初めての端末からのアクセスなのにパスワードも入れないで通すyahooの仕組みがダメだったのでは?って思います
売上だけを重視しているキャリアやサービスはビッグデータ使いまくりですね。無料サービスも対価は個人情報なので。個人情報を軽視してる個人が狙われます。
ソフトバンクのデータ専用SIMとPayPayを紐づければソフトバンク利用者向けのクーポンももらえますし。
>> Master T さん
なぜ、この流れでLINEが出てくるのでしょう??謎です。>> caminoroad さん
LINEは韓国主導のアプリです。反日国家ですね。LINEは無料で使えるかわりに利用者の個人情報を対価として取得して利用します。先日、日本人の個人情報が漏洩した事件がありました。悪用目的です。まともなセキュリティが無く、LINEは韓国人に閲覧され続けていたようです。今も続いてます。
あなたの父母の電話番号も不正利用の対象になるかもしれません。詳しくは検索すると出ますよ。
いろんな会社で、これまでも個人情報漏洩など起こってますよね。日本人であろうと韓国人であろうと、そういう人がどの企業にいてもなんの不思議もありません。
まずは、個人ですることは、怪しいメールやSMSに関わらないこと、メールアドレスとIDは、違うものにすること、パスワードは一文字でもいいから、同じものを使わないようにすることからではないですか?あとは、異常に早く気づくよう、何事も放置しておかないこと。
日本人も韓国人も関係ないけど、敵視してる人にわざわざ弱みをあげる必要がない これこそが個人で出来る対策であるかと。
temu以上の危険度みたい。