SIMスワップ（電話番号乗っ取り）被害対策。個人で出来ることは？

暗証番号に、誕生日や電話番号の一部は使わない。

一方で
> ●生年月日の登録は慎重にする
>　⇁ウソ登録にするのが良いか、迷いますねー？？
これはウソが申請先で発覚したら…のリスクがあり推奨できかねます。

対面で本人確認が甘かったせいでしょうか。
前のSIMカードを提出させればいいのにと思いましたが、既にそうなっているとのこと。
https://news.mynavi.jp/article/cashless_payment-51/

MVNOは、マイページのパスワードが漏洩しなければ安全ということなんでしょうか？

マイナンバーカードを読み取るアプリありますよね。今回そこまで偽造できてたんでしょうかね？

直接関係ないですが、
私の嫌いな、証明書を斜めから撮影したり、顔を動画で撮ったりするeKYCですが、あんなのやっていると、また同じことが起きますよね。全然別の人が、その人の顔写真で作った偽造カードを持って撮影すれば、見抜けないですから。

マイナンバーカードの電子データを使って確認する方法に変えて欲しいです。ドコモのd払いのアプリとかは、本人確認は、結構前からそうだったような気がします。

ITに詳しめの割には携帯番号・住所・生年月日を晒していたのか。

パスキーが使用可能な場合は使用する。
複数の携帯番号とメールアドレスの組み合わせ。
パスワード・生年月日・クレカ番号は上記の如し。

わたしは、自身のホームページで生年月日や住所、電話番号は載せていません(^o^)丿
会員登録についてはきちんと登録してるけど(^^;

>> アッカリ〜ン@_@….,….,…😅 さん

eKYCがダメってことではなくて、「ホ方式」だとダメってことですね。
失礼しました。
https://www.cybertrust.co.jp/blog/certificate-authority/business-process-digitalization/strict-identification-method.html
https://www.aspicjapan.org/asu/article/4331

　SMS認証用の回線は物理SIMにしておく

(攻撃側目線だと)
　オンラインで不正に再発行する場合でも、配送時本人確認(の突破)は面倒な手間なので

　物理SIMだった場合には執着せず、難易度の低そうな eSIMに対象を変更するだろうと思います


　配送業者にせよ、ショップ(代理店)にせよ、本人確認の厳密さは担当者の資質次第
(極論すれば、担当者が攻撃側 という可能性も排除しきれない)

＞●生年月日の登録は慎重にする
＞　⇁ウソ登録にするのが良いか、迷いますねー？？

例えば、お店のポイントカードとか、どうでもよさそうなのは、万が一漏洩してもいいように、生年月日を変えて登録する（何を登録したかは思えておくことは必要）こともあったりしますが、その後、サービスが統合、進化したりして、クレジットカードとか、本人確認書類と紐づけされたときに、生年月日が合っていない、とかで修正したことはあります。(^_^;)

よく、電話口での本人の確認や、パスワード再発行とかで、本人を確認するための情報の１つとして生年月日が使われたりするので、生年月日の登録は慎重になりますよね。

https://king.mineo.jp/reports/272949
こちらを読んでいて思ったのですが、

電話番号とSMS認証だけで、PayPayを乗っ取れるってことは、

悪意のある者が、何か適当な会員登録画面を作って、

・「ユーザーIDを決めてください」（これはダミー）
・「本人確認をするので、携帯番号を入力してください」
（このタイミングで入力された携帯番号でPayPayにログインを試みる）
・「届いたSMSに書かれている番号を入力してください」
（ユーザーが入力した番号を使って、PayPayのログインを突破する）


SMSには、PayPayと書かれているので、おかしいと気づくかもしれませんが、自分なんかは、いつもSMS認証の時に数字しか見ていなかったりするので、入力してしまうかも。

今後、そんなパターンも出てくるのかな？

詐欺とか、悪事を考える人を超えて防ぐ方法は際限もなくイタチごっこが続くと思います。
狙われたら、防ぐのは無理ではないかな?
被害を最小限にするには、こまめに確認する事ですね。

>>●ネット通販サイトにクレカ番号を記憶させないで都度入力

これはこれで番号が窃盗される機会が増えるかも。
「保存した情報の漏洩」を危惧しての話題かと思いますが、「ユーザーの入力情報の窃盗（Webスキミングやデジタルスキミング）」もあるので入力回数が増えるとこちらのリスクがあがります。

キャリアは今回の件は早急に対策をするでしょうから今後はこのポストのキャリア版を早急に構築すればいいはず

現時点で2名も被害者いるのか（他にもいそうだけど）

LINEを使わない事ですね。

携帯番号認証と
メルアド認証、どちらが安全なのでしょうか？

＞●認証用の携帯番号は別物にして、人に知らせない

この対策はソフトバンク系回線の方は今回と同様の被害にあう可能性は高いです。他社は確認してません。

例えば多くの人に教えてる主回線(SB番号)をPayPayに登録してない状態でSIMスワップされても現在使ってるPayPayは確かに乗っ取りされません。
でも犯人がその奪った主回線のSB番号で新規にPayPayアプリを開始して、PayPay外部連携でソフトバンクと連携し、ソフトバンクまとめて支払いを設定すれば、まとめて支払いの限度額までは利用可能と思います。
WiFiをOFFにした回線認証でここまで全部可能です。自分が使ってもいないPayPayで番号が利用されるだけです。

まとめて支払いを利用制限してたとしても、マイソフトバンクに回線認証で入って変更可能と思います。これは利用制限を設定した時のパスワードが必要と思いますが、パスワードを紛失した場合おそらくSB回線でチャットサポート接続して名前と生年月日などを提示すればパスワードリセットして貰えるんじゃないかと思います。

またマイソフトバンクで今回も使われたソフトバンクカードというプリカのバーチャルカードも発行もできる可能性も(この時契約時の4桁暗証番号が必要なら回避できるかも)。

SBとYM(他は知らない)は『パスワードなしの生回線認証』というユーザーサイドに立った(w)面倒を省いたとっても簡単な方法で色んな手続きができる仕組みになっています。

SIMスワップされたらアウトですがSIMスワップはそもそも我々の手落ちじゃないし。お店や店員が「自分たちは回線という財布のマスターキーを扱ってる」という責任を理解してない事にあるのかなと思います。


別所でも書きましたがSIMスワップという犯罪だけではなく、物理SIMを入れてるスマホを落とした、盗まれた、知らぬ間にSIMだけ抜かれた などの場合でも全く同様の被害にあう可能性があります。
なので最低限の防衛策として物理SIMはPIN設定が必須です。

>> _カブ さん

　政治家は セキュリティに対して「鈍感」でないと とても務まらない という面もあると思います
(政治家は ソフトターゲットの最たるものなので、意図的にセキュリティに目を瞑らないと、活動すら できません)

yahooとLINEの連携は
SMS認証必須なんですねー。

メールアドレス認証にしたら
連携できなくなりました。

という事はSMSの方が安心？

月並みですが、ダークウェブに自分の情報が流出していないか監視するいわゆる『ダークウェブモニタリング』を使っています。流出している兆候がある時はいろいろ調べて対応してます。

( ˘•ω•˘ ).｡oஇ　方針はベスト諦めベターかな

SIMスワップを完全には防げないと考えて、SIMスワップされた時の被害を最小化するのがよさそうです。

SMS認証だけで突破されるサービスは使わない。例えばYahooはパスワードログインに戻しておく。
Yahooや楽天など、一つの認証を突破されたら芋蔓式にやられるサービスは、連携を最小限にとどめる。
などでしょうか？

>> proto さん

Yahooはパスワード無効が推奨ですが（パスワードが漏れることが前提）

sim乗っ取りだと逆効果、ですね。

SMS認証用の電話番号は既に変更しましたが
この番号もいずれは漏洩するのでしょう。

そこで電話番号が漏洩してもSIMスワップ出来ない電話番号を利用できないかを考えてみました。

・プリペイドSIMでSMS受信出来る物が有ります。
　例えば、楽天のプリペイドSIM（データ通信専用）はSMS受信可能なものが有ります。
・自分の名義で無い電話番号を利用する。
　例えば、家族の名義のSIMをSMS受信用に利用する。

私は、既に自分名義で無いデータ通信専用のSMS付SIMを利用しているので、今後はこちらに切り替えて行こうと考えてます。

利用者が出来る対策としては、mineo等のMVNOの携帯番号だと、店舗でSIM再発行は難しいと思います。
どの携帯電話会社を利用しているかが大手キャリアに比べると判別しづらいですし、そもそも店舗が少なくSIM再発行できるお店は更に限られるので安心ですね。

あとはeoIDなどマイページに入る際のパスワードの設定を使い回しをせずに大小英数字記号を混ぜた10文字以上にしておくと一定水準のセキュリティは保てるでしょう。

ただ、ソフトバンクに限った話となりますと、やはりソフトバンク自体のシステムのセキュリティを高めないことには根本的な改善にはならないでしょうね。

放置になっていてすみません、皆様、たくさんありがとうございます。

SIMスワップ自体を防ぐのと、SIMスワップ後に不正にネット決済等をされてしまう被害を防ぐのと、両方あると思います。本文は混ぜて書いちゃったので、後で対策とその効果を整理して書こうと思います。

先日のソフトバンクのSIMスワップ問題は、偽のマイナンバーカードを作られたのがきっかけでした。
MVNOやサブブランド等は、ログインを突破されてしまうとSIM再発行をされてしまう可能性がありますね。

現状、本人確認も偽造カードに対応していないし、SIMスワップされたら、あらゆる所にログインできてしまう仕組みになっていたりするようですね。事業者側もセキュリティ強化が必要になって来るでしょうね。

私は今回のはyahooがSMSだけで認証していて2段階になってないせいだと思いましたので、パスワード＋メール認証に変更しました
一般的には契約の伴う電話番号の方が、メールより敷居が高いはずですが、yahoo（と連携したpaypay）はSMSだけで認証が通るようなので・・・
というか初めての端末からのアクセスなのにパスワードも入れないで通すyahooの仕組みがダメだったのでは？って思います

なぜ漏洩するか。L社では名前　Y社では住所　P社では預金通帳　T社では勤め先　例の話題のアプリで父母の電話番号や友人の電話番号そして位置や利用時間等がすべて搾取されてます。これらを紐付けしていけばオレオレ詐欺やsimスワップに容易に行えます。漏洩ではなく悪用疑いなのです。防ぐには無用のサービスには登録しないかなと。
売上だけを重視しているキャリアやサービスはビッグデータ使いまくりですね。無料サービスも対価は個人情報なので。個人情報を軽視してる個人が狙われます。

PayPayに登録する番号は他人に公開しない番号にするのが良いかもしれませんね。
ソフトバンクのデータ専用SIMとPayPayを紐づければソフトバンク利用者向けのクーポンももらえますし。

>> Master T さん

なぜ、この流れでLINEが出てくるのでしょう？？謎です。

>> caminoroad さん

LINEは韓国主導のアプリです。反日国家ですね。
LINEは無料で使えるかわりに利用者の個人情報を対価として取得して利用します。先日、日本人の個人情報が漏洩した事件がありました。悪用目的です。まともなセキュリティが無く、LINEは韓国人に閲覧され続けていたようです。今も続いてます。
あなたの父母の電話番号も不正利用の対象になるかもしれません。詳しくは検索すると出ますよ。

必要以上に危機感を煽っているように感じますね。
いろんな会社で、これまでも個人情報漏洩など起こってますよね。日本人であろうと韓国人であろうと、そういう人がどの企業にいてもなんの不思議もありません。
まずは、個人ですることは、怪しいメールやSMSに関わらないこと、メールアドレスとIDは、違うものにすること、パスワードは一文字でもいいから、同じものを使わないようにすることからではないですか？あとは、異常に早く気づくよう、何事も放置しておかないこと。

漏洩ではないという事が真実で、漏洩と忖度している方が多い。悪意ある利用ですね。煽るのではなく敵視している人に利用されるが許せないかなと。利用が危険である認識が重要で、意識が低く皆が使っているから大丈夫というのが一番駄目なことかなと。
日本人も韓国人も関係ないけど、敵視してる人にわざわざ弱みをあげる必要がない　これこそが個人で出来る対策であるかと。
temu以上の危険度みたい。