こえー
1: ホスピー(京都府) [EU] 2022/10/26(水) 16:46:27.22 ID:qLdUgEUd0 BE:811571704-2BP(2072)
日本で流行の兆しをみせる「SIMスワップ」に要注意 その実態とは?
しかし最近、こうしたスマートフォンでの認証方式を脅かす非常に悩ましい事件が日本で発生しました。
2022年10月16日に神戸新聞が発表した記事によると、この事件の被害者は現金約1千万円の出金被害に
遭ったとされています。
ざっくりと解説するとこの事件は、犯人グループが勝手にMNP(番号ポータビリティ制度)で被害者の
スマートフォンを解約して電話番号を奪い、奪った電話番号を使って銀行のオンラインバンキングに
不正ログインし、1千万円を不正送金したというものです。
この事件の恐ろしさは、本人確認の重要な要素である「電話番号」が気付かないうちに奪われていたところに
あります。さまざまなサービスで電話番号を登録した結果、SMSで確認コードが送られてきたり、
金融機関などから自動音声の電話がかかってきたりといった経験を持つ読者の方も多いはずです。
しかしそれらは全て「電話番号の管理者が本人である」という前提で成立するものでしょう。
それが手元になく、気が付いたら解約されている状況は現代社会では非常に致命的だと言えます。
近年は、各携帯電話事業者でMNPに必要な手続きを簡単に実行できるようになっています。
ほぼ全ての携帯電話事業者でWebからMNP予約番号を取得できるので、Web管理画面に
アクセスできるID(多くは公知のメールアドレス)とパスワードが分かればMNPに必要な情報は全てそろいます。
つまりMNP予約番号と偽の本人確認書類があれば、勝手に別の携帯事業者にポートインして
携帯電話番号を奪えます。このような“攻撃”手法は数年前から海外で目立っており「SIMスワップ」などと
呼ばれて注意喚起されてきましたが、ついに日本でもこれが流行し始めたと言えるでしょう。
(全文はソース参照)
>>1神戸の事件とは
https://www.kobe-np.co.jp/news/sougou/202210/0015728948.shtml
■どこから情報が漏れたか
兵庫県警サイバー犯罪対策課によると、「番号ポータビリティー制度」を使って、スマホが乗っ取られる被害は
近年、数は多くないものの、確認され始めている。他人のアカウントなどを乗っ取る行為は、
不正アクセス禁止法違反に当たるが、捜査関係者によると、その狙いは金融機関が設けた
セキュリティーの隙を突くことにある。
今回のケースでは、出金時に銀行が架電で本人確認をしている。スマホに確認コードを記載した
ショートメッセージサービス(SMS)を送って、ログイン画面に打ち込ませて認証する方法も普及している。
犯人はこれらのセキュリティーをすり抜けるためにスマホを乗っ取ったとみられる。
犯人は男性の氏名と住所、生年月日が正しく記載された偽造免許証を持っていた。それだけでなく、
銀行の口座番号と暗証番号も完全に把握していた。男性は「いったいどこで情報を盗まれたか、
全く心当たりがない」と頭を抱える。
捜査関係者の一人は「一つの可能性として『フィッシング』の手口が使われたかもしれない」との見立てを話す。
フィッシングとはSMSなどで偽サイトのURLを送りつけ、IDやパスワード、口座番号などを書き込ませる手口だ。
「アマゾン」や「メルカリ」など有名な実在企業をかたることも多いため、疑わずにアクセスしてしまう事例は少なくない。
男性も「ひっかかった記憶はない」と強調する。一方で、携帯電話にはフィッシングとみられるメールが
毎日大量に届いているという。
>>4のつづき
■免許偽造請負サイトも
犯人は偽造の運転免許証も使ったとみられる。インターネット上には免許証や資格証明書の偽造を請け負う
業者のサイトが多数ある。
あるサイトは、証明書の偽造について「全く他人の身分を奪う」などと説明し、「本物と99・9%一致」などとうたう。
作成費用も運転免許証が5万5千円、5年パスポートは9万5千円などさまざまだ。
「性別が同じ」「同じくらいの年齢」「氏名、生年月日、現住所、電話番号を入手できる」などの条件がそろう
なりすまし相手を見つけてメールで作成を依頼し、データを確認して料金を振り込めば実物を郵送するとしている。
ある県警の捜査員はサイトが海外で作られた可能性を指摘する。実際、文言には不自然な日本語が見られる。
免許証の偽装、使用は有印公文書偽造違反の罪で、1年以上10年以下の懲役が科せられ、重い罪だ。
盗られる金がないから少なくともオレには関係ねー
SIMフリー端末は買わないようにするわ
SIMロックの有無は全く関係ないんだが
金融機関だの国税庁だの警察庁だの次々とよく考えるわ
沢山の人に送れば引っかかる人もいるわな
数十万程度じゃ赤字になりそう
夜職とかパパ活経由でカモ探ししてるんかな
そんな事考えたくは無いが、信販会社や金融機関に在職で借金抱えた奴が名簿流してる、とか・・・
>>23
MNPするにはキャリア調べなきゃならんので電話番号が仮に分かっても厳しいと思う
逆に、キャリアアカウントのハッキング経由だと資産状況が分からんのでここまで手間かけるのはリスク
と考えると、財政状況を聞き出せて、場合によっては端末自体に触れることの出来る立場が噛んでるのかなと
キャリア総当りで
MNPしてなければ総務省の資料で番号からキャリアは分かる
まぁ、かけてみれば、リングバックトーン前の音で分かるんだけど
MVNOだと判別不能じゃね?
セキュリティー会社の人間がぱよぱよちーんだった事もあるし
なかなか何処から漏れるかわからんよな
>>15
誰かが情報流してるのはあるかも知れんが、銀行なんかはスマホの番号まで知らんからな(教えてなければ)
固定が中心だった頃は貯蓄額が一定ライン超えたあたりで不動産買え的な勧誘電話が増えたな
IDにうんち
パスにトイレって入れてる
詐欺サイトだとそれでも入れる
警察がこの手のサイトに嫌がらせしまくれば良いのに
MNP転入受け入れた側の責任には成らんの?
偽造免除で本人確認通るもんなのかね。
めちゃくちゃ精巧な免許証だからな
派遣バイトみたいな奴らばっかりの携帯ショップじゃ到底見破れんよ
ガースー呼び戻せや
預金額も知ってないと無駄骨に終わるから銀行に協力者がいるんだろ
完全に個人特定して
ログインしてってそこにもSMSいったりするし
携帯ショップのやつなら出来そうだが
書いてあるとおりMNPするには自分が契約してる携帯電話会社のホームページで自分のIDとパスを入れる必要があるじゃん
IDは分かるとしてパスワードはどうやって?
フィッシングだろ
金持ちなのは分かるし電話番号と生年月日は知ってるし請求書払いだから住所だって筒抜け
引用元: ・https://hayabusa9.5ch.net/test/read.cgi/news/1666770387/
コメント