一般に知られるようになった、きっかけは4月の東京都の都議会議員と大阪市八尾市の市議会議員の被害からになります。
SIMカードの乗っ取りで200万円をこえる被害
市議会議員のケースは、議員のソフトバンク携帯電話が何者かによって、高額な最新機種に機種変更され、PayPayを使いこまれたり、200万円以上もする腕時計を購入されたりしたことがXに投稿されました。
議員の携帯が、圏外で使えなくなりました。
そのときは電波障害をうたがいました。しかし、そういう状況でないことを確認し、原因を調べに八尾市のソフトバンクショップで最新のアイホーンに機種変更されていたことが、わかりました。
PayPayに5万円をチャージされ、名古屋市内でほぼ使われ、そのほかネットの買い物やコンビニでのかざす決済で使えるソフトバンクカードのオートチャージが13万円分使用されてしまい、
さらに携帯電話を停止しているにも関わらず、225万円のロレックスのショッピングローンが通ってしまったという。
ソフトバンクの宮川潤一社長は5月9日の決算会議で陳謝した。
店舗での本来のオペレーションでは、マイナンバーカードの原本の確認と、本人確認の二重チェックを行っている。
一部の店舗では不十分だったと説明。今後は2重チェックは再徹底し、再発を防止する。
具体的な防止策は開示されなかったが、今のシステムを改造して順次、店舗に導入すると言います。
そもそも、SIMスワップ・ハイジャックとは何?
犯罪者は身分証を偽造して携帯電話の所有者に成り済まし、機種変更やSIMの紛失、MNPなどを理由に携帯電話のSIMカードを再発行することで、被害者のSIMカードを乗っ取ってしまうという、犯罪だ。
海外2020年頃から増え始め、日本でも2022年から確認されている。
SIMカードが乗っ取られると、被害者は携帯電話が使えなくなる。
犯罪者は携帯電話番号にひもつけられているアカウントで各種サービスにログインできるようになりSMS認証を突破できる。
何らかの方法でIDとパスワードを知っていれば、SMSの2要素を突破し、オンラインバンクの不正アクセスやクレジットカードの不正利用できるようになってしまう。
個々人がSIMスワップ詐欺を防ぐ方法とは?
身分証の偽造ができるような個人情報をさらさないようにする。
フィッシングメールやスミッシング(SMSを利用するフィッシング詐欺)に注意し、疑わしいリンクをクリックしないこと。
2要素認証の方法を選べる場合はSMS(電話番号)ではなくスマートフォンのアプリやワンタイムパスワードを利用することなどが考えられる。
根本的な解決は「JPKI」か
今回のSIMスワップの被害では、本人確認にマイナンバーカードが使われていたことから、マイナンバーカードそのものに原因があるかのような報道も一部あったようだが、、原因は本人確認が徹底していなかったようだ。
本人確認がしっかりしていなければ、運転免許証でも同様の犯罪が起こる可能性がある。
事件を受けて、デジタル庁は偽造マイナンバーカードを見分ける方法をもりこんだ
盛り込んだ文書を民間事業者むけに配布しました。
本物のマイナンバーカードは、カード右上の「マイナちゃん」の背景がパールインキになっていて、見る角度によって緑色と桃色に見えることなどが文書にかかれている。
しかし、総務省の「不適正利用対策に関するワーキンググループの第3回会合で、警察庁が配布した資料を見ると
携帯電話の不正契約では、、一見して本物の見分けがつかないほど精巧に偽変造した本人確認書類が用いられることが多い。
身分証偽造は国際的な犯罪組織が大掛かりに行っているようです。
券面をニセ変造した本人確認書類を使って不正に契約されることを防ぐために
マイナンバーカードの「公的個人認証(JPKI)を活用する方向で、検討をすすめている。
SIMスワップ詐欺、多くの記事で識者が対応策として提言しているICチップを読み取る方法だ。
公的個人認証とは、マイナンバーカードのICチップに搭載された電子証明書を利用して、オンラインで利用者本人の認証や契約書などの文書を改ざんされていないことの確認を公的に行うこと。
公的個人認証サービスのしくみは、地方公共団体情報システム機構(j-LIS)によって運用されています。
行政機関だけでなく、民間事業者各種サービスにも導入されてきた。
例えば現在、携帯電話のおんらいん契約では、運転免許証やマイナンバーカードと自分の顔を撮影して本人確認する画像解析型本人確認の「eKYC]が採用されているが、デジタルアイデンティティ推進コンソーシアムはeKYCには本人確認書類の真性検証のプロセスがない身元確認の意味をなしていないと問題点をを指摘している。
今後、オンライン契約でeKYCは廃止され、公的個人認証で本人確認が行われていくことになる。
対面での本人確認が不正のターゲットになる可能性も指摘されている。
対面での本人確認にもICチップを読み取る公的個人認証サービスを導入するべきなのだが、読み取り機器や、システム開発が必要になる。
コストの解決策は「スマホでのICチップ読み取り」
河野デジタル大臣は5月10日の記者会見で、「ICチップを読み取ることで、さらに厳格に本人確認ができる。民間でそんなアプリがあれば、その使用を推奨したい。」
そういうものがなければ、デジタル庁で読み取りアプリを開発し、無償提供をしていきたい」とかたっています。
大手キャリアは環境を自前で用意できるだろうが、デジタル庁が無償提供することで小規模事業者でもICチップでの本人確認ができるとなれば、ユーザーも事業者も一定の安心感は得られそうです。
マイナ保険証のスマホ搭載来年春以降、現行の保険証は12月廃止使用不可に・・
河野デジタル相は31日の閣議後の記者会見、マイナ保険証の機能が来年以降でスマートフォンで使えるようになるとの見通しを示した。
元号の保険証は12月に廃止され、シュウヨ期間が終わると、使えなくなる。
保険証の機能は、マイナンバーカードに原則一本化されます。
