SIMスワップ詐欺とは？手口・被害事例・法人が今すぐ取るべき対策を徹底解説

SIMスワップ詐欺は、SIMを不正に乗っ取り二段階認証を突破する犯罪です。本記事では手口や国内外の最新被害事例、個人・法人が取るべき対策を解説します。

SIMスワップ詐欺とは？基本の仕組みを解説

SIMカードの役割と「乗っ取り」の意味

SIM（Subscriber Identity Module）カードとは、スマートフォンや携帯電話に挿入される小型のICチップで、契約者の電話番号、識別番号、各種認証情報が記録されています。SIMカードが端末に正しく挿入されていることで、通話・SMS・モバイルデータ通信といった各種サービスを利用できる仕組みです。

SIMスワップ詐欺とは、攻撃者が携帯電話会社になりすまし手続きを行い、被害者のSIMに紐づいた電話番号を、自分の手元にある別のSIMカードへと「移し替え（スワップ）」させてしまう犯罪です。これにより、被害者は突然スマートフォンが圏外になり、攻撃者は被害者の電話番号を完全に乗っ取った状態となります。

別名（SIMハイジャック・Port-Out詐欺・SIM分割）

SIMスワップ詐欺は、文脈や手口の細部によってさまざまな別名で呼ばれています。代表的なものは次の通りです。

• SIMハイジャック（SIM Hijacking）
• SIM分割（SIM Splitting）
• Port-Out詐欺（番号ポータビリティ制度を悪用したもの）

なお、似た用語に「SIMスプーフィング」がありますが、これはSIMスワップとは別の技術概念として説明されることが多く、本記事では同義語として扱いません。

いずれも本質は同じで、「電話番号の所有権」を不正に奪い、SMSベースの認証システムを突破する点に共通しています。

なぜSIMスワップ詐欺が成立してしまうのか

SIMスワップ詐欺が成立する根本的な理由は、多くのオンラインサービスがSMSを利用した二段階認証（2FA）に依存していることにあります。銀行のオンラインバンキング、SNS、メールサービス、クラウドストレージ、暗号資産取引所など、機密性の高いサービスの多くが「電話番号宛てに送られるワンタイムパスワード」を本人確認の手段として採用しています。

つまり攻撃者から見れば、被害者の電話番号さえ手中に収めてしまえば、IDやパスワードに加えてSMS認証も突破できる、いわば「合鍵を手に入れた」状態になるわけです。さらに、携帯電話会社の店舗・コールセンターにおける本人確認プロセスが、偽造身分証やソーシャルエンジニアリングによって突破されてしまうケースが、SIMスワップを成立させる温床となっています。

SIMスワップ詐欺の具体的な手口

攻撃者がSIMスワップ詐欺を実行するまでには、いくつかの段階があります。一般的な4ステップを順番に見ていきましょう。

ステップ1: 個人情報の収集（フィッシング・SNS・闇市場）

攻撃の出発点は、ターゲットに関する個人情報の徹底的な収集です。攻撃者は被害者の氏名、住所、生年月日、電話番号、メールアドレス、契約している携帯電話会社、勤務先などの情報を、あらゆる手段で集めます。具体的には次のような方法が使われます。

• フィッシングメールやスミッシング（SMSフィッシング）で本人から情報を引き出す
• 実在する企業を装った偽サイトに誘導し、ログイン情報やクレジットカード情報を入力させる
• SNSやブログ、過去の情報漏洩事件で流出したデータベースから断片的な情報をかき集める
• ダークウェブ上の闇市場で個人情報リストを購入する

ステップ2: 偽造身分証による本人確認の突破

十分な情報を集めた攻撃者は、次に本人確認を突破するための準備を進めます。代表的な手段が、偽造した運転免許証やマイナンバーカードなどの身分証明書を用意することです。実際に2024年3月には、長崎県の夫婦が運転免許証200通以上を偽造し、SIMスワップ詐欺の本人確認に悪用していた事件で逮捕されており、被害額は少なくとも4億5,000万円にのぼると報じられています。

攻撃者は被害者になりすまし、これらの偽造書類を持って携帯電話ショップを訪れたり、コールセンターに連絡したりします。

ステップ3: SIM再発行またはMNP転出

攻撃者がショップ店員やオペレーターを騙すために用いるシナリオは、概ね2パターンに分けられます。

• 「スマートフォンを紛失したのでSIMカードを再発行してほしい」と申し出るパターン
• MNP（携帯番号ポータビリティ制度）を悪用し、被害者の契約を解約して別の携帯電話会社で同じ番号を引き継ぐパターン（海外ではPort-Out詐欺と呼ばれる）

いずれの場合も、本人確認さえ通過してしまえば、新しいSIMカードが攻撃者の手元に渡ります。同時に、それまで被害者が使っていた元のSIMは無効化されるため、被害者の端末は突如として圏外状態となります。

ステップ4: SMS二段階認証の突破と金銭窃取

攻撃者は、新しく入手したSIMで被害者の電話番号を完全に支配できるようになります。ここから先の動きは非常に迅速です。具体的には、次のような流れで金銭被害が発生します。

• オンラインバンキングのログイン画面で「パスワードを忘れた方」を選択し、SMSでリセットコードを受信
• 受信したコードを使ってパスワードを変更し、口座にログイン
• 二段階認証もSMS経由で突破できるため、不正送金を実行
• 同様の手順でSNS、メール、クラウドサービス、暗号資産取引所のアカウントを次々と乗っ取る

被害者が「スマホがおかしい」と気づいた頃には、既に銀行口座から預金が流出しているケースも珍しくありません。報道によれば、わずか15分程度で口座の残高が引き出された事例も存在します。

国内外のSIMスワップ詐欺 被害事例

日本国内の被害動向（2022〜2024年）

日本国内におけるSIMスワップ詐欺は、2022年に被害がピークを迎えました。警察庁の公表値によれば、2022年は発生件数78件・被害額約3億9,400万円にのぼっています。事態を重く見た総務省と警察庁は、携帯電話事業者に対して本人確認の強化を要請し、その結果、2023年は4件・被害額約3,400万円へと大きく減少しました。

一方で、2024年は11件・被害額約4,600万円と再び発生が確認されています。なお、2024年3月時点の警察庁資料では「2023年5月以降は確認されていない」とされていましたが、その後の年次統計には2024年分が計上されており、時点差により記録上のズレが生じている点には注意が必要です。本人確認の強化に対応する形で、攻撃者の手口はさらに巧妙化していると考えられており、引き続き警戒が求められる状況です。

地方議員を狙ったSIMスワップ事件（2024年）

SIMスワップ詐欺の特徴の一つに、ターゲットに「公人」が選ばれやすいという点があります。公人は顔写真や経歴、誕生日、住所などの個人情報がインターネット上で容易に入手でき、身分証明書を偽造しやすいため、攻撃者にとって都合の良い標的となるのです。

2024年4月には東京都議会議員、同年5月には大阪の八尾市議会議員が、それぞれSIMスワップの被害に遭ったと報じられました。また同時期には、岐阜県の多治見市議会議員、千葉県の船橋市議会議員に対する被害も確認されており、政治家や弁護士など少なくとも6名に対して同一犯による犯行が行われたとみられています。

楽天モバイルのeSIM不正再発行問題

2024年4月23日、楽天モバイルは自社サービスにおいてeSIMの不正な再発行が発生していることを公表し、利用者に注意を呼びかけました。公式案内によれば、不正サイト等によって入手された楽天ID・パスワードを用いてmy楽天モバイルにログインされ、eSIMの再発行が行われた事案が確認されたとされています。

また同年5月、ソフトバンクの宮川潤一社長は決算説明会で、地方議員を標的としたSIMスワップ被害について言及し、二重の本人確認を行う運用が一部の店舗において不十分だったことを認め、謝罪を行いました。これらの事例は、物理SIMだけでなくeSIMもSIMスワップ詐欺の対象となり得ること、そして携帯電話事業者の店舗オペレーション自体がリスク要因となり得ることを示しています。

海外の大型事例（米SEC公式Xアカウント乗っ取り等）

海外ではより大規模な被害が発生しています。2024年1月9日、米国証券取引委員会（SEC）の公式Xアカウントが乗っ取られ、「SECはビットコインETFを承認した」という偽のニュースが投稿される事件が発生しました。SECは1月22日の声明で、攻撃者が同アカウントに紐づく携帯電話番号を奪取したいわゆる「SIMスワップ攻撃」であったと説明しています。さらにSECは、当該Xアカウントの多要素認証（MFA）が2023年7月から無効化されたままだったことも明らかにしており、これが攻撃の成功を許す決定的な要因となりました。この偽投稿の影響でビットコイン価格は一時的に急騰し、金融市場に混乱を招いています。

また、2021年11月にはカナダ・オンタリオ州で、10代の少年がSIMスワップ詐欺により約4,600万カナダドル（約41億7,000万円）相当の暗号資産を盗み出す事件が発生しています。これはカナダの暗号資産関連犯罪史において、単一の被害者から盗み出された金額として過去最高額とされています。

FBIの2023年インターネット犯罪報告書によれば、米国におけるSIMスワップによる被害額は約4,879万ドルに達しています。さらに英国では、英国の詐欺対策機関Cifasによれば、2024年に約3,000件のSIMスワップ事例が報告され、前年の289件から大幅に急増したとされています。

SIMスワップ詐欺の兆候と被害に遭ったときの対応

「突然圏外」など気づくべきサイン

SIMスワップ詐欺では、被害者本人が攻撃を受けていることに気づくのが遅れがちです。しかし、注意していれば次のような兆候から早期に異変を察知できる可能性があります。

• スマートフォンが突然圏外になる、電波を一切受信しなくなる
• 通話やSMSの送受信ができなくなる
• 身に覚えのないログイン通知やパスワード変更通知が届く
• 銀行口座やクレジットカードの明細に不審な取引履歴がある
• SNSや銀行口座、メールなどのアカウントに突然アクセスできなくなる

これらの兆候を「単なる電波不調」と片付けてしまうのは危険です。特に、Wi-Fi環境では問題なくインターネットが使えるのに、モバイル回線だけが機能しなくなった場合は、すぐにSIMスワップ詐欺の可能性を疑うべきです。

被害発覚時の緊急対応フロー

万が一、SIMスワップ詐欺の被害に遭ったと考えられる場合は、被害の拡大を防ぐために迅速な対応が必要です。次の手順で対応しましょう。

• ただちに契約している携帯電話会社に連絡し、SIMが再発行されていないか確認する
• 不正に再発行されていた場合は、SIMの無効化と回線復旧の手続きを依頼する
• オンラインバンキング、SNS、メール、クラウドサービスのパスワードをすべて変更する
• 二段階認証の方法をSMSから認証アプリやハードウェアキーへ切り替える
• 銀行に連絡し、不正送金の有無を確認、必要に応じて口座を凍結する
• 警察のサイバー犯罪相談窓口に被害届を提出する

個人ができるSIMスワップ詐欺対策

SMS認証から認証アプリ・ハードウェアキーへ移行

SIMスワップ詐欺における最大の防御策は、二段階認証の方式を見直すことです。SMSベースの二段階認証は、SIMさえ奪われれば突破されてしまうため、より安全な代替手段に切り替えるべきです。具体的には次のような方法があります。

• Google AuthenticatorやMicrosoft Authenticatorなどの認証アプリを使う
• YubiKeyなどのハードウェアセキュリティキーを利用する
• パスキー（FIDO2/WebAuthn）に対応するサービスでは積極的に有効化する

特に、銀行口座、暗号資産取引所、メインのメールアカウント、SNSなどの重要サービスについては、可能な限りSMS認証から脱却することを推奨します。

個人情報の公開範囲を見直す

攻撃者が本人確認を突破するためには、被害者の個人情報が必要です。逆に言えば、攻撃者から見て情報を集めにくい人ほど、SIMスワップ詐欺のターゲットになりにくくなります。SNSやブログでの個人情報の公開範囲を定期的に見直し、生年月日や住所、家族構成、勤務先などの情報を必要以上に公開しないことが重要です。

また、フィッシングメールやスミッシングへの警戒も欠かせません。心当たりのない送信者からのメールやSMSに含まれるリンクは絶対にクリックせず、公式アプリや公式サイトから直接アクセスする習慣を徹底しましょう。

キャリアの通知機能・SIM PINを活用する

各携帯電話会社が提供する通知機能を活用することで、SIMスワップ詐欺の早期発見が可能になります。回線契約の変更通知、ログイン通知、SIM再発行通知などをオンにしておけば、不審な手続きが行われた瞬間に気づくことができます。

また、SIMカード自体にPINコードを設定しておくと、仮にSIMが攻撃者の手に渡ったとしても、PINを知らない攻撃者は使用できません。設定方法はiPhoneの場合「設定」→「モバイル通信」→「SIM PIN」、Androidの場合は「設定」→「セキュリティ」→「SIMカードロック」から確認できます。なお、各キャリアの初期PIN（多くは「0000」など）のままでは防御効果が弱いため、有効化と併せて必ず推測されにくいPINへ変更しておきましょう。

法人が取るべきSIMスワップ詐欺対策

経営層・幹部を標的とするリスクの理解

SIMスワップ詐欺は、もはや個人だけの問題ではありません。経営者や役員、財務担当者など、企業の重要ポジションにある人物が標的となれば、企業全体に深刻な影響を及ぼすリスクがあります。米SECの公式Xアカウント乗っ取り事件のように、組織の信用や株価、市場全体にまで波及する可能性があるのです。

特に、以下のような立場の人物はリスクが高いとされています。

• 企業の経営者、役員、財務責任者（CFO等）
• 広報・SNS担当者など、公式アカウントの運用権限を持つ人物
• 情報システム部門の管理者権限を持つ人物
• 公人やインフルエンサー、暗号資産・金融資産を多く保有する人物

多要素認証（MFA）方式の全社見直し

組織全体としては、多要素認証（MFA）の実装方式を見直すことが急務です。多くの企業では、業務システムへのログインや管理者権限の操作にSMSベースの二段階認証を用いていますが、これはSIMスワップ詐欺によって突破される可能性があります。

法人として推奨される対応は次の通りです。

• 業務上重要なシステムは、SMS認証を廃止し、認証アプリやハードウェアキーに切り替える
• 管理者権限を持つアカウントには、必ずFIDO2対応のセキュリティキーを併用する
• シングルサインオン（SSO）と組み合わせ、認証ポイントを集約・統制する
• 特権アカウントについては、操作ログの監査と異常検知を強化する

従業員へのソーシャルエンジニアリング教育

SIMスワップ詐欺は、技術的な攻撃というよりも、人間の心理を突くソーシャルエンジニアリングの要素が極めて強い犯罪です。したがって、テクノロジーによる対策だけでは不十分であり、従業員への継続的なセキュリティ教育が不可欠となります。

具体的な教育内容としては、フィッシングメールの見分け方、不審な電話への対応方法、個人情報をSNSで公開する際の注意点、SIMスワップの兆候を察知する方法などが挙げられます。定期的な研修や疑似攻撃メールを用いた訓練を実施し、組織全体のセキュリティ意識を底上げしていくことが重要です。

IoT/M2M回線運用における視点

法人IoT SIMと個人スマホSIMのリスクの違い

ここまで主に個人向けスマートフォンのSIMを前提として解説してきましたが、法人がIoT/M2M用途で利用するSIMには、若干異なるリスク構造があります。IoT SIMは、監視カメラ、センサー、産業機器、車両、デジタルサイネージなどに組み込まれて使われるため、SMS認証や個人を識別する用途では用いられないことがほとんどです。

そのため、SIMスワップによってオンラインバンキングの不正送金を実行されるといった被害は発生しにくい一方で、別の側面のリスクが存在します。たとえば、IoT機器に挿入されたSIMが盗難された場合、攻撃者がそのSIMを別の端末に挿入して通信し、回線料金を不正利用する「キャリアフリーローディング」のような被害が考えられます。法人IoT回線では、こうしたリスクへの備えも欠かせません。

閉域網・IMEIロック等による根本的な安全策

法人向けIoT SIMでは、SIMスワップやSIM盗難のリスクを軽減するために、ネットワーク設計レベルでの対策が可能です。代表的な対策は次の通りです。

• 閉域網（VPN・専用線）による通信経路の隔離: インターネットから切り離された通信網を利用することで、外部からの攻撃経路そのものを遮断する
• IMEIロック機能: 特定のデバイス（IMEI番号）以外ではSIMが通信できないように制限し、SIMが盗まれても他の端末では使えなくする
• 管理コンソールによる通信監視: リアルタイムで通信状況を監視し、異常なトラフィックを検知した時点で通信を即座に停止する
• 通信量上限の設定: 想定外の大容量通信が発生した場合に自動的に通信を遮断する

こうした対策を組み合わせることで、SIM自体が物理的に盗まれた場合でも、被害を最小限に抑えることが可能になります。IoTセキュリティ全般について詳しく知りたい方は、以下の関連記事もご参照ください。

IoTセキュリティとは｜リスク管理と安全な通信｜IoTBiz

監視カメラ・センサー等のIoT機器を守る通信設計

特に屋外設置の監視カメラや、無人施設に設置されたセンサー機器などでは、物理的なSIM盗難リスクが個人スマートフォンよりも高まります。これらの機器を安全に運用するためには、通信の入り口であるSIM選びの段階から、セキュリティを意識した設計が必要です。

法人向けIoT SIMサービスを選定する際は、料金や通信容量だけでなく、IMEIロック対応、閉域網接続、運用監視の機能の有無を必ずチェックしましょう。IoT機器の仕組みや安全な通信環境の選び方については、以下の記事でも詳しく解説しています。

IoT機器とは？仕組み・メリット、安全な通信環境（SIM・閉域網）まで徹底解説｜IoTBiz

また、IoT全般のセキュリティガイドラインや、企業として取り組むべきセキュリティ対策の全体像については、こちらの記事も併せてご覧ください。

IoTセキュリティの意味や必要性、ガイドライン｜IoTBiz

DXHUB株式会社が提供する法人向けIoT/M2M SIMサービス「IoTBiz」は、4キャリア100種類以上のラインナップから利用シーンに最適なプランを提案しており、監視カメラやセンサー機器の運用に適した上り大容量プランも展開しています。SIMの安全な運用についてご相談がある方は、ぜひお問い合わせください。

法人向けIoT/M2M SIMサービス IoTBiz 公式サイト

まとめ：SIMスワップ詐欺に備えるために

SIMスワップ詐欺は、SMSベースの二段階認証という、現代のオンラインサービスの根幹を支える仕組みの「弱点」を巧みに突いた犯罪です。日本国内では2023年に被害が大きく減少したものの、2024年には再び発生件数・被害額ともに増加に転じており、地方議員を狙った事件や楽天モバイルのeSIM不正再発行事案が示すように、手口は確実に巧妙化しています。

個人としては、SMS認証から認証アプリ・ハードウェアキーへの移行、SNSでの個人情報公開の見直し、キャリア通知機能の活用といった対策が有効です。法人としては、経営層を含む全社的な多要素認証方式の見直しと、ソーシャルエンジニアリングへの教育が不可欠となります。

そして、IoT/M2M回線を運用する企業にとっては、SIMスワップそのものよりも、SIM盗難や不正利用への備えとして、閉域網・IMEIロック・通信監視といったネットワーク設計レベルでの対策が重要です。SIMという小さなICチップが守っているものの大きさを再認識し、適切な備えを進めていきましょう。