「SIM が乗っ取られた」——銀行口座が一晩で空になる SIM スワップ詐欺の実像と対策

「スマホが急に圏外になって、戻ってきたら口座の残高がゼロだった」——海外で続発し、日本でも報告例が増えてきた SIM スワップ詐欺の話です。正直に言うと、私もこのテーマは「海外の話でしょう」とどこかで構えていた一人でした。ただ、知人の経営者で実際に近い被害に遭った方の話を聞いてから、見方が変わりました。先に結論だけ言っておくと、SMS による二要素認証を主役に据え続けるのは、もう推奨できません。なぜそう言えるのか、Q&A 形式で順に答えていきます。

SIM スワップ詐欺とは具体的にどんな攻撃ですか

攻撃者が本人になりすまして携帯キャリアから SIM を再発行させ、被害者の電話番号を自分の端末に乗せ換える攻撃です。

技術的なハッキングと聞くと、サーバーへの侵入やマルウェアを想像しがちなんですよね。ところがこの攻撃は、そういう類いのものではありません。狙われるのはキャリアショップやコールセンターの本人確認窓口です。攻撃者は事前に SNS や過去の流出データから、氏名・生年月日・住所・出身地・ペットの名前など本人確認に使われそうな情報を集めておきます。そのうえで「スマホを落としたので SIM を再発行したい」と申し出る——この一連の流れが完結すると、被害者の電話番号は攻撃者の手元の端末に移ってしまいます。

海外、特に米国・欧州では SNS のアカウント乗っ取りや暗号資産流出の文脈で何年も前から知られていた手口です。日本国内でも、本人確認のオンライン化や eSIM の普及に伴って手口の窓口が広がりつつあります。技術ではなく社会工学的に突破される——ここがこの攻撃の厄介な本質です。サイバーセキュリティの予算を積んでも、突破される場所はキャリアの窓口だったりするわけです。

なぜ SIM が乗っ取られると銀行口座まで取られるのですか

電話番号一つを握られると、SMS 認証に依存しているサービスがドミノ式に陥落するからです。

少し冷静に考えてみると、私たちは普段こんなにも電話番号を「鍵」として使っているんですよね。ネットバンキングのログイン、高額送金時の追加認証、証券口座の取引承認、暗号資産取引所の出金、クラウド会計、主要メールのパスワードリセット——どれも SMS にコードが届くタイプの認証が現役で動いています。

そもそも SMS は「持っているもの（所有要素）」として設計されたものではなく、通信経路として転用されてきた歴史的経緯があります。国際標準化団体の NIST も、2016 年時点で SMS ベースの二要素認証は非推奨にすると表明している領域です。日本のサービス事業者がここに足並みを揃えるのには、もう少し時間がかかりそうです。だからこそ、利用者側の自衛が先に必要になります。

自分が狙われているかどうか、どんな前兆で気づけますか

「突然の圏外」が最大の前兆です。ここを電波トラブルと片付けないことが、被害の規模を決めます。

典型的な前兆を並べておきます。

• 突然圏外になり、再起動しても回線が戻らない
• 通話ができなくなる・SMS だけが届かなくなる
• キャリアから「本人確認手続きが完了しました」「SIM 再発行を受け付けました」のメール通知が来る
• SNS や主要メールから「新しい端末でのログイン」「不審なアクセス」の警告が届く
• 普段使っていない時間帯にパスワードリセットのメールが大量に来る

白状すると、私自身、圏外になったときに真っ先に疑うのは「キャリアの障害かな」だったんですよね。たぶん多くの方が同じだと思います。ただ、前兆から実害発生までの猶予は数時間というのが海外事例の相場です。深夜や出張中・休暇中など、被害者が動きにくいタイミングを狙ってくるケースが多い。圏外を「あとで調べよう」ではなく「まず自分が狙われていないかを疑う」という判断軸を持っておきたいところです。

個人として今すぐできる対策は何ですか

SMS 認証を、認証アプリかパスキーに切り替える。これが最短かつ最も効きます。

ただ、いきなり全部やろうとすると挫折します。私のおすすめは、「銀行・証券・主要メールの 3 つだけ」を今週中に変えるという現実的なやり方です。優先順位を整理するとこうなります。

1. メインのメールアカウント（Gmail / iCloud など）——ここを取られると他が全部芋づる式に陥落するため最優先
2. ネットバンキング・証券・暗号資産取引所
3. クラウド会計・SaaS の管理者アカウント
4. SNS（個人ブランドや業務に直結するもの）

具体策として、Google Authenticator や Authy のような TOTP（時刻ベースのワンタイムパスワード）、または FIDO2 規格のパスキー・ハードウェアキー（YubiKey 等）に移行します。パスキーが選べるサービスなら迷わずパスキーが正解です。

それと並行して、キャリア側の防御も忘れずに。ドコモ・au・ソフトバンクいずれも、**SIM 再発行や機種変更時の追加認証（暗証番号・店頭での本人確認強化）**を設定できます。法人契約の場合は、契約者本人以外が窓口に来ても手続きできない運用にしているか、一度確認しておくと安心です。

圏外になったら、まず自分が狙われていると疑う。

これを一行覚えておくだけでも、初動の速さがまるで変わってきます。

経営者・情シスとして組織で取るべき対策は何ですか

代表者・経理・情シス管理者という「権限が集中する 3 人」から優先的に守ります。

経営者あるあるですが、代表番号がそのまま代表者個人の電話番号になっている会社、まだ多いんですよね。SNS で講演活動や経歴を積極的に発信していると、本人確認に必要な情報はほぼ揃ってしまいます。攻撃者から見れば、最も投資対効果の高いターゲットが経営者です。

組織で押さえたい論点を整理しておきます。

特に 「うちの会社、SMS で十分だよね」という空気をどう変えるか——ここが本当の難所です。ID 管理基盤（IdP）の導入やゼロトラスト的なアクセス制御の議論にも自然と接続していくテーマで、単なる認証手段の置き換えにとどまりません。詳しくは 「DX 戦略」という言葉が、もう半分使えなくなった理由 でも触れていますが、こうした基盤系の話は経営判断として扱うべき領域に来ています。

実際に被害に遭ったら最初に何をすべきですか

「自分のスマホは使えない」前提で、家族や同僚の端末を借りて 3 本電話する、これが初動です。

順番が大事です。

1. 銀行・証券のコールセンターに電話し、オンライン取引を全停止
2. 携帯キャリアに電話し、SIM 不正再発行の停止と回線復旧を依頼
3. 勤務先の情シス・経営層に一報。法人クラウドの管理者権限を凍結

ここまでで被害拡大は止まります。そのあとに、警察のサイバー犯罪相談窓口、顧問弁護士、主要 SaaS のセッション失効、パスワード変更——という順に動きます。

参考までに、ある中堅企業の経営者 A 氏（仮）の事例を匿名で紹介します。海外出張中の朝、スマートフォンが突然圏外になりました。Wi-Fi 経由でメールを開くと、メインバンク・証券口座・法人クラウド会計から立て続けに本人確認通知が届いていたそうです。SMS 認証コードはすべて攻撃者の手元に飛んでおり、個人口座から数百万円が複数回に分けて送金され、法人口座も承認待ちの送金が複数積まれていた状況でした。A 氏は同行スタッフのスマホを借り、まず銀行のコールセンター、続いてキャリア、最後に警察と顧問弁護士に連絡しています。被害金額の一部は組戻しで回収できたものの、対応に費やした時間は丸 3 日、業務影響はそれ以上に長引いたと振り返ります。事故後、同社は経営層と経理担当者の MFA をすべてパスキー方式へ移行し、ネットバンキングの送金承認も二名体制に変更しました。

A 氏が社内研修で繰り返している言葉が、先ほどの「圏外になったら、まず自分が狙われていると疑う」です。シンプルですが、本質を突いていると思います。

この記事を読んで「うちの会社、SMS 認証どれくらい残っていたっけ」と気になった方は、おそらくそこが最大の攻撃面です。クラウド・ネットバンキング・基幹システムが SMS 認証にどれだけ依存しているかを棚卸ししてみると、思った以上に出てきます。

認証基盤と業務フローの棚卸しを一緒にやりませんか

私たちは認証基盤の刷新を、単純なツール導入ではなく業務フローと権限設計の見直しとセットで進めることを大事にしています。「SMS 認証をパスキーに変えました」だけでは、送金承認のフローや管理者権限の集中といった本丸の論点は残るからです。

自社のどこから手を付けるべきか、論点を持ち寄って整理したい方は お問い合わせフォーム からご相談ください。認証手段の置き換え単体で終わらせず、組織として SIM スワップ的な攻撃に耐える構造をどう作るか、一緒に考えます。

関連記事：

• 凡人経営者が大谷翔平から学ぶ、組織と再現性の 3 つの視点
• インドの最新セールステック事情——日本企業が学ぶべき5つの潮流 関連サービス：
• システム受託開発