世界的サイバー犯罪が日本に上陸しました。その名は、SIMスワップ。
なんとも巧妙な手口なんです。
皆さん、ネットバンキングって使いますよね、ネットバンキングの口座が今やられています。
いやいや、ネット銀行じゃなくて三井住友とか三菱ufjを使っているから関係ないと思った方もいらっしゃるかもしれませんが、
そういった話ではなく、どんな銀行をお使いでもパソコンやスマホからインターネット越しに残高を
確認したり振り込みをしたりすることできるじゃないですか?
そういったインターネット経由でアクセスできる口座は全てがターゲットとなるんです。
そしてさらには銀行口座以外ですね。
証券口座や仮想通貨などネット上で管理している、あなたの資産は全て危険にさらされるわけなんです。
【GPT-4の使いこなし方】AIで仕事を作る人、AIに仕事を奪われる人!使いこなせば未来を掴める
SIMスワップの手口と対策方法
インターネットを使って銀行にアクセスする際のIDパスワードが、
例え第三者に漏洩してしまったとしても、そのお金を奪われるということはほとんどなかったんです
なぜかというと2段階認証です。
例えば第三者がそのIDとパスワードを使ってあなたの口座にログインできたとしても、いざ、お金を送金しようとすると手元のスマホにワンタイムパスワードという1回限りの使い捨て数字が送られてくるのでその番号を入れないと送金できない。
つまり、IDとパスワードが分かっていても、本人のスマホが手元にないと送金できない仕組みになっているので、ネット銀行の安全性っていうのは担保されていたわけです。
しかし今回の手口、SIMスワップは、スマホを乗っ取っちゃうんです。
ですから、口座の中身がやられちゃう。どうやってスマホを乗っ取るかというとスマホの中に入っているSIMを乗っ取るんです。
巷ではSNS上でこんな闇バイトが多く募集されています。SIM再発行手続きアルバイトを募集1回10万円。
作業は1時間程度で全国どこにいても可能継続案件で月100万円も可能。
攻撃者は闇バイトを雇ってあなたを攻撃してきます。
具体的に説明しますと攻撃者は、実はすでにターゲットの個人情報を知っているんです。
ネットバンキングのIDとパスワードはもちろん、氏名や電話番号など先に個人情報を手に入れています。
そして、ターゲットがあなただと仮定しますと攻撃者はあなたの身分証明書を偽造して雇った闇バイトの顔写真と合成します。
これで闇バイトはあなたになりすますことができるわけです。
闇バイトは偽造されたこの身分証明書を持って、携帯ショップに行くわけです。そしてSIMをなくしたので、再発行してほしいと発注するんですね。
携帯ショップの店員は、身分証明書を本人確認とする以外まあ本人の確認の使用がありませんので、疑うことなくSIMの再発行をしてしまう。
再発行されたタイミングであなたのSIMは無効化されてしまい、闇バイトに新しいSIMが発行されるわけです。あなたのスマホは使えなくなりあなたの電話番号やショートメールは攻撃者の手元に移ります。
もうやりたい放題なわけなんです。そして何が行われるのかと言いますとあなたの銀行口座からの送金そして2段階認証の突破です。
こういった手法が今、世界的に流行していましてこれがついに日本にも上陸したというわけです。今、FBIもまでが警告を出しているんです。
もちろん、皆さんは自分のスマホが使えなくなったらすぐに異変に気づくと思います。そして、契約しているキャリアに問い合わせたり携帯ショップに駆け込むなどすることで、
すぐにね、第三者によってSIMが悪用されているさらには自分が被害に遭っていることに気づくわけなんですが、その時には時すでに遅しという状態になっているんです。
この手口やばいですよね。
狙われたら防ぎようがないんですよ。そしてもしかしたらこう思った方もいるかもしれません。
自分はね振込限度額を少なくしているので被害は少なくて済むよと思った方、犯人はあなたの口座にログインできてあなたの携帯番号が手元にあるわけです。
限度額簡単に変更できてしまいます。そして、銀行は大金を移動させると不審に思って、振り込みを一旦停止させて何かね被害に遭ってるんじゃないかと本人に問い合わせしてくれるっていう、そういったセキュリティがあるんですが、これも全く効果を発揮します。
銀行が、本人に確認のため電話をかけるんですが繋がる先はあなたではなくて攻撃者になります。攻撃者があなたのフリをして問題ないと言ってしまえば送金されてしまうわけなんです。
そしてさらにあなたはこう思ったとも思います。
銀行口座には送金先が残っているわけだからそこから、お金の行き先や攻撃者を特定できるんじゃないかと思ったかもしれませんが、送金先は海外の口座なんです。
さらにそこからまた別の海外の口座に送金されたり、仮想通貨やデジタルカジノのコインに変えてまた別の国で現金化させたりと、とてもじゃないけれどもあとを追うことはできないそうです。
治外法権っていうのがありますので、警察は国外を調べることができませんからね。
いや本当に手口が巧妙であくどいです。
そしてですね今の話の流れで被害にあった、あなたに落ち度はありましたかという点やあなたは途中で被害を食い止めることができるチャンスがありましたかというとですねないんですよ。
月額99円から。WordPressも簡単にインストールできるレンタルサーバー
被害に遭わないためには何に気をつければいいのか
皆さん途中から気になって仕方がなかった件があると思うんです。
なぜ攻撃者はあらかじめターゲットの個人情報を知っていたのかということです。
銀行のログインIDや氏名電話番号などが漏れていなければこんな被害には合わなかったはずです。なぜでしょうか?
攻撃者は、ダークウェブから個人情報を購入しているんです。
ダークウェブって何だってね思った方も多いでしょうが、実はインターネットの世界には特殊な方法を使わないと入ることができない。
裏の社会があるんです。その裏社会、インターネットのことをダークウェブと言うんです。そこには薬物であったり拳銃であったりクレジットカード番号であったりと一般の世界では買うことができないありとあらゆるものが売られているんです。
そこで、膨大な数の個人情報が売られているんです。
この数がものすごくて、2020年4月から8月までのたった5ヶ月の間に新たに販売された日本人のログイン情報IDとパスワードの組み合わせです。
セキュリティソフトで有名なノートンによる発表だと、なんと95万件です。そして日本人クレジット
カード番号においては3万件です。
これ5ヶ月間で新たに売り出された日本人だけの個人情報ですから。
累計で言うともう天文学的な数の個人情報が売りに出されているわけなんですが、攻撃者はその情報を何千何万という単位で買ってきては口座にログインして預金額をチェックするんです。
そこで大金を見つければ闇バイトを雇う。このような仕組みになっているんです。
実はですね情報がダークウェブに売り出されてしまったら防ぎようがないんです。ですから、注意すべき点としましては自分の情報を漏えいさせないようにすることが一番大切なんです。
個人情報が流出して悪用されるまでの流れっていうのはこういう風になっています。
SNSやアプリ、ウェブサイトなどに入力した個人情報が流出して、ダークウェブに売られそこから攻撃者に買われて実、被害に遭うわけなんです。
ここを、ブロックしましょうよということです。限界はあります。
例えば企業などから流出するデータっていうのは個人では防ぎようがありません。
しかし、企業から漏れるデータっていうのは氏名住所電話番号ぐらいで銀行口座のログイン情報っていうのは、さすがに流出しません。
銀行口座のログイン情報やAmazon、楽天などのログイン情報が漏れるのは、皆さんが自分で情報を入力して自分で漏えいさせているんです。
これは皆さんご存知のフィッシング詐欺です。
しょっちゅう怪しいメール送られてきますよね。あなたの口座に別の場所からのログインがありました。今すぐこのボタンからサイトにアクセスして被害がないか確認してください。
そして、そのボタンから飛んだ先は銀行そっくりのサイトがあるんですが、実はこれ本物そっくりに作られた偽サイトでここにログインIDとパスワードを入れてしまうとまんまと情報を吸い上げられるわけです。
さらには、本人確認のため氏名生年月日電話番号を入力してください。
こんな感じで聞いてくるわけなんです。いや騙されないでください。この情報ここが全て揃ってしまうとチェックメイトです。
そして、自分を月々300円とか500円とかで守ることができるVPNなんかもおすすめです。
VPNとは何かというと、フリーwi-fiなんかにつないでインターネットをしているとその通信っていうのは簡単に傍受できてしまうんです。
駅やホテルやカフェなど、様々なところに思わぬ危険が潜んでいたりするんです。そういう通信傍受の危険性から守ってくれるのがVPNなんです。
ただしねどんなVPNでもいいというわけではありません。
間違ったVPNを選ぶと余計危なかったりもするんです。
VPNって、セキュリティ以外でも色々な使い道があって結構面白いんです。まあ月々ね数百円で安全
性が上がるのであればこういったものを使うのも一つの手です。
コメント