先日、突如PayPayからこのようなアナウンスがありました。
第三者が不正に電話番号を乗っ取る「simスワップ詐欺」にご注意ください。 というタイトルで、「PayPayアプリに不正にログインされ、意図せず決済、送金が行われた事例が確認された」との内容です。
<動画内容>
1. SIMスワップとは
2. 具体的な手口の例
3. 手元のスマホに起こること
4. 気づくためのポイント
5. 利用履歴の確認方法
6. 不正利用時はどういった補償がうけられるのか
7. フィッシング被害を回避するために
8. パスキー対応サービスは積極的に設定
9. 利用限度額を必要最低限に設定する
10. 本人確認は任意で
11. アカウントを検索させない
詳しくは、下記の動画ご参照ください。(講座動画時間:16分22秒)
いつもご視聴ありがとうございます。
スマホのコンシェルジュです。
先日、突如PayPayからこのようなアナウンスがありました。
第三者が不正に電話番号を乗っ取る「simスワップ詐欺」にご注意ください。
というタイトルで、「PayPayアプリに不正にログインされ、意図せず決済、送金が行われた事例が確認された」との内容です。
ということで今回はSIMスワップ詐欺とはどういったものか、改めて手口や防衛手段など皆様と共有していければと思います。
スマホのコンシェルジュでは、豊富な指導実績をもとに、スマートフォンの使い方に関する動画を配信しております。
世代間の情報格差を少しでもなくせるようにと動画配信を行っておりますので、ぜひ「チャンネル登録」をして他の動画についてもチェックしてみてください!
それでは今回もよろしくお願いします。
【目次】
1.SIMスワップとは
2.具体的な手口の例
3.手元のスマホに起こること
4.気づくためのポイント
5.利用履歴の確認方法
6.不正利用時はどういった補償がうけられるのか
7.フィッシング被害を回避するために
8.パスキー対応サービスは積極的に設定
9.利用限度額を必要最低限に設定する
10.本人確認は任意で
11.アカウントを検索させない
1. SIMスワップとは
ではまずはじめに「SIMスワップ詐欺」とはそもそも何なのか確認していきましょう。
SIMとはスマホに入っている「SIMカード」のSIMのことで、SIMカードにはご存知の通り通信キャリアとの契約により与えられた「電話番号」がインプットされています。
スワップは「交換」を意味する英単語です。
「SIMスワップ詐欺」とは悪意ある第三者によって、自分の「電話番号」が奪われ犯人の手元のスマートフォンから使われてしまい、電話番号を使ってログインするような決済サービスや銀行のサービスに不正にログイン、送金等をおこなわれてしまうという詐欺です。
他にも「SIMスプーフィング」、「SIMハイジャック」といった呼び方もあるようです。
電話番号の乗っ取りと表現されることも多いです。
2. 具体的な手口の例
具体的な手口の例を見ておきましょう。宮城県警のHPを参考にさせていただきました。
犯人はまず「フィッシング」などの手法によりターゲットとなる人物の個人情報を収集します。
フィッシングとは偽のサイトにアクセスさせてIDやパスワード、その他個人情報を盗み出す手法です。
銀行などを装い「今すぐ口座を確認してください」といったメールを送り、偽の銀行サイトにアクセスさせ、そこにログイン情報などを入力させます。この入力内容は犯人が閲覧できるため、個人情報が渡ってしまうことになります。
こうして被害者の個人情報を入手した犯人は、身分証を偽造します。
続いて、闇バイトで人を雇い、この偽造身分証を使って被害者になりすまし、携帯キャリアの窓口で「スマホを紛失しました」などと言って、SIMカードの再発行をかけてしまいます。
こうして被害者の電話番号のインプットされたSIMカードが犯人の手に渡ってしまうことになります。
犯人は手に入れたSIMカードを使い、被害者の銀行などに不正アクセスします。
本人の電話番号が手元にあることで、多くのサイトに不正ログインが可能となります。
たとえば画面はネットショッピング大手Amazonの例です。
自分のアカウントにログインする際、IDとパスワードを入力すると、追加の本人確認として、登録してある電話番号宛に秘密の認証コードが書かれたSMSが送られてきます。
画面には今送ったSMSに書かれた6桁のコードを入力してくださいと表示され、それを入力できれば本人であると確認されログインできる、
という「2段階認証」や「SMS認証」と呼ばれるログイン方式がとられています。
これにより万が一IDとパスワードが第三者に知られてしまったとしても、登録した電話番号のスマホが自分の手元にあれば、第三者がこのSMSに書かれた認証コードを入力することはできないので不正ログインはできないはずです。
ただしSIMスワップが犯人がその電話番号を持っており、SMSも受信できるため、2段階認証を突破されてしまいます。
こうして決済アプリ、ネットバンキングなどに不正アクセスが行われる、というのがSIMスワップ詐欺の手口です。
ただしSIMスワップ詐欺による被害は2022年から23年頃に確認されたものの、そこから本人確認の厳重化などが功を奏したのか、目立った被害はほとんど確認されなくなっていたようです。
にも関わらずここにきてPayPayから注意喚起がなされましたので、別の手口が開発されてしまった可能性も考えられます。
PayPayのアナウンス自体は冒頭お見せした1ページのみと、詳細についてあまり多くは語られていませんので、実際に被害自体は確認されているものの詳しい手口などに関してはっきりしたことはわからない、ということかもしれません。
3. 手元のスマホに起こること
万が一お持ちの回線に対してSIMスワップが行われた場合、原則同じ電話番号を持つSIMカードが複数枚存在するという状況はありませんので、被害者の手元にあるSIMカードは使用できなくなります。
具体的には突然圏外と表示されたり電話やモバイルデータ通信、SMSが使えなくなります。
SIMの刺さっていないスマホ同様、Wi-Fiでの通信は可能です。
今回、PayPayの注意喚起においても「SIMスワップ」であることが明言されていますので、PayPayの不正利用、かつスマホの通信ができなくなったという状況を併発したユーザーが確認された、ということかと思います。
例えば明らかな通信エリア内で周りの人はなんともないのに自分だけ圏外表示が続き、ニュースやXなどでもこれといって通信障害に関する言及も見当たらない、という場合は念の為キャリアへ連絡しましょう。
例えば家族から自分の電話番号に非通知で電話をかけてもらって、問題なく呼び出し音が鳴るようだと、どこかで自分の番号が使われている、つまりSIMスワップの疑い濃厚と考えられます。
4. 気づくためのポイント
SIMスワップ詐欺から身を守る方法や被害を最小限におさせる方法を確認しておきましょう。
まずPayPayの注意喚起アナウンスにもあるように、決済アプリの利用履歴、取引履歴はこまめに確認するようにしましょう。
どの決済アプリにも必ず取引履歴を確認できるページが用意されています。万が一身に覚えのない取引があった場合は当該アプリに問い合わせましょう。
5. 利用履歴の確認方法
PayPayの例では、アプリを開いてすぐのページ、赤い帯の中に時計のようなアイコンで取引履歴ボタンがあり、そちらから取引の全履歴が確認できます。
d払いもアプリ起動後すぐのホーム画面に配置されています。
楽天ペイは少し奥まった位置にあり、アプリを開いて左上、三本線アイコンをタップして出てくるメニューの中にある「ご利用履歴」をタップ、そこで楽天ペイを選択すると利用履歴が表示されます。
そもそも不正利用の被害にあってしまった場合、例えばPayPayでは全額補償対象という案内があります。
ただし損害の発生日から60日以内の申請であることが補償の条件であるため、気まぐれに明細を確認してみたら2ヶ月ちょっと前に不審な送金があった、といった場合すでに補償の対象外となってしまいます。
最低限月末月初などには一度利用履歴を確認する習慣をつけていただければと思います。
6. 不正利用時はどういった補償がうけられるのか
また繰り返しになりますが、SIMスワップに遭ってしまった場合は圏外表示が続くなどの兆候が現れます。
速やかにお使いの通信キャリアに確認しましょう。
7. フィッシング被害を回避するために
続いてSIMスワップの前段となるフィッシングに引っかからないための基本も押さえておきましょう。
まず基本中の基本となりますが、安易にメールやSMSに記載のリンクにアクセスするのは避けてください。
メールのタイトルは不安を煽るようなものが多く、「Amazonのお支払いに不備がありますので確認して下さい」といったメールなど多くの方が受信した覚えがあるのではないでしょうか。
またPayPayの利用通知などに擬態したフィッシングメールも存在します。
ついついチェックしたくなりますが、偽物のウェブサイトにアクセスさせられてしまう可能性も高いので無視してください。
銀行系、決済系のサービスはほぼほぼ公式アプリが用意されているはずですので、普段から管理にはそちらを使うようにしましょう。
ホーム画面から公式アプリを起動、という手順であれば偽サイトに繋がる心配はなく、極めて安全性が高いと言えます。
どうしても気になるメールを見てしまった場合も、そのお知らせが本当であればアプリ側にも同じ内容のお知らせが表示されるはずです。メールのリンクからのアクセスは避けましょう。
またアプリは必ずiPhoneであればApp Store、Androidであればグーグルプレイストアを起動して、そこからインストールしてください。
8. パスキー対応サービスは積極的に設定
最近はパスワードや2段階認証に代わるログイン方法として「パスキー」という方法でのログインを提供するサービスも増えてきました。
パスキーとはデバイスの生体認証などによる本人確認を組み合わせた高度な認証の仕組みで、フィッシングに対して強力な防衛策となります。
パスキー導入済みのサービスではほとんどの場合設定を促されますので、積極的に設定しましょう。
画面の指示通りにほんの数ステップの手順で設定できます。
仕組みは複雑に見えたかと思いますが、パスキーでのログインを設定すると、以後ログインに際してパスワードが不要になり、指紋や顔でログインできるようになるので、ログイン手順自体が楽になるというメリットもあります。
例えばAmazonでパスキーログインを設定すると、ログイン時にこうしてパスキーでログインしますか?と尋ねられるので、スマホのロック解除と同じ要領で指紋や顔での認証を行うだけでログインできるようになります。
仕組みは根本的に異なるものの、これまでの「デバイスに記憶させたパスワードをロック解除で呼び出す機能と見た目や操作もそっくりです。
最後にその他のセキュリティ関連設定もおさらいしておきましょう。
9. 利用限度額を必要最低限に設定する
まず利用限度額を必要最低限の額に設定しておきましょう。
メイン画面右下に「アカウント」というボタンがあります。他のアプリと同様、セキュリティ関連の設定などはやはりこうしたところに格納されています。
次の画面を少し下にスクロールすると「利用可能額の設定」という項目がありました。
ここで支払いや友達への送金、チャージの三種類について上限を設定できるようになっています。
それぞれスイッチをオンにすると設定画面が出てきて、1日ごと、または一ヶ月ごとの限度額を設定できます。多くの方にとっては1日あたり5万円も使えるようにしておく必要はないかと思いますので、1万円などご自身の使い方に合った額に変更しておいてください。
限度額の変更はいつでも可能です。増額する場合はデバイスのロック解除での認証を求められる、という仕様です。
とはいえ不正ログインを受けてしまっているようなシチュエーションにおいては犯人側から変更されてしまう可能性はありますので、あくまで最低限の防波堤や自分の使い過ぎを防ぐための設定とお考えください。
利用限度額を設定後、取引の途中で上限に到達した場合にどうするかの選択画面が表示されます。
取引を一時保留する、とした場合は上限を引き上げない限り支払いは継続されませんのでより安全です。
10. 本人確認は任意で
PayPayでは登録者が本人で間違いないかを証明する「本人確認」の実施を呼びかけています。
PayPayアプリ上からマイナンバーカードや運転免許証を読み取ることで行います。
未実施の場合は、アカウント情報画面に「本人確認を完了してください」といった文言が表示されていますので、そちらから画面の手順に沿って進めます。
本人確認を済ませることで様々な機能が解放される他、不正利用時の補償申請手続きがスムーズになり迅速に補償を受けられるとしています。
ただ不正利用時の申請ページに説明があるように、あくまで申請時に本人確認が済んでいるとスムーズという書き方ですので、これをやっておかないと補償が受けられないということではないようです。
逆に銀行口座との紐付けなど色々とできるようになると、それはそれでちょっと抵抗があるという方は無理に進める必要はありません。
11. アカウントを検索させない
続いて、PayPayではIDや電話番号を使って知人のアカウントを検索できるようになっており、送金や請求などのやり取りが可能です。
送金は非常に便利な機能ではあるのですが、適当な電話番号に適当に支払い要求を送りつけるという悪用事案も発生しておりますので、見知らぬ請求メッセージが来た場合は無視するようにしてください。
PayPayのHPの案内にも「不正利用防止の観点から一定時間内の電話番号検索の回数を制限している」との注意書きがありました。
また補償においても、「お客様ご自身がPayPayの残高を送る、受け取る機能を使ったお取引はPayPayの補償制度の対象外となります」との表記がありますので、
自分で送金操作を行ってしまったといったケースは補償対象外となってしまう可能性があります。
他人からの検索を許可するかどうかはオンオフの設定が可能です。
アカウントから「送る・受け取る設定」とあり、こちらに「電話番号を公開する」「IDを公開する」というスイッチがあります。
ひとまず電話番号での検索はオフにしておきましょう。
また先ほどの上限額の設定で送金にも上限をかけておくのも有効です。
当動画は以上です。
最後までご視聴いただきありがとうございました。
気軽にコメントや「チャンネル登録」をいただけますと幸いです。
また、「メンバーシップ」にて弊社動画のテキスト版も配信しておりますので、よろしければ是非ご登録ください。
それでは、次の動画でもよろしくお願いいたします。
「【PayPayを悪用した詐欺が横行中】すぐに確認すべき設定とは」もご参照ください。
「【知らない間に不正利用】「タッチ決済対応カード」は超危険!「カード情報」がダダ洩れ!」もご参照ください。
<指導実績>
三越伊勢丹(社員向け)・JTB(大説明会)・東急不動産(グランクレール)・第一生命(お客様向け)・包括支援センター(お客様向け)・ロータリークラブ(お客様向け)・永楽倶楽部(会員様向け)等でセミナー・講義指導を実施。
累計50,000人以上を指導 。
<講義動画作成ポイント>
個別指導・集団講座での指導実績を元に、わかりやすさに重点を置いた動画作成
その他の講義動画は下記の一覧をご参照ください。
<その他>
オンラインサポート(ライブ講座・ZOOM等でのオンライン指導)とオフラインサポート(出張指導・セミナー形式のオフライン指導)も実施中。詳しくはメールにてお問い合わせください。
【全店共通】
03-5324-2664
(受付時間:平日10時~18時)
