いつの間にか盗まれる「SIMハイジャック」の手口とは？：476th Lap：金曜Black★ピット

スマホで通話したり通信したりするのに絶対欠かせない「SIMカード」。それを乗っ取ろうとする「SIMハイジャック」が横行している。

[キーマンズネット]

　第三者がSIMカードごとスマホを奪ってしまえば、そのスマホを自由に使えるのはもちろん、別のスマホにSIMカードを差し込めば元の所有者になりすましてやりたい放題だ。

　「ははあ、ハイジャッカーは自分でスマホ料金を支払いたくないから他人のSIMを奪うのね」と思い込むのはちょっと性急だ。本当の狙いは別のところにあるし、そもそもハイジャッカーたちは物理的にSIMカードを盗まないのだ。一体どういう手口なのか？

　Tech系ニュースサイト「Motherboard」が、実際に乗っ取られた例を出しながらSIMカードハイジャックの手口を紹介している。

　被害に遭ったのは、米ソルトレークシティに住むレイチェル・オストランドさんだ。2017年9月のある夜、子どもを寝かしつけたあとでレイチェルさんが妹とメッセージをやりとりをしていると、契約先のT-Mobileから不可解なメッセージが届いた。「SIMカードが更新されました」

　「これは何？」と思う間もなく、レイチェルさんのスマホは使えなくなった。レイチェルさんの夫、アダムさんがレイチェルさんの電話番号にかけてみると、呼び出しはされているものの誰も出ない。レイチェルさんが手にするスマホが鳴ることもなかった。

　アダムさんは1時間後に再コールした。すると見知らぬ人が出て「レイチェルです」と言った。「そんなわけない」とアダムさんが否定すると、その人物は開き直ったように「お前たちの人生を破壊してやる」と返してきたという。

　このとき、既にレイチェルさんのSIMの電話番号にひも付けられたInstagramやAmazon、eBay、PayPal、Netflixといったサービスのアカウントが乗っ取られていた。そう、SIMハイジャッカーの狙いは、SNSのアカウントだったのだ。

　レイチェルさんの使っていたInstagramのアカウントは「@Rainbow」だった。このような「ステキ」なSNSカウントは、闇のマーケットで高値（およそ5〜50万円）で売買されている。あるハッカーによれば、「@t」というInstagramアカウントは約4万ドル（約450万円）で取引された。

　最近、SNSのようなネットサービスの利用者は、IDとパスワードだけでなく、スマホの電話番号を使った2段階認証でセキュリティを確保している。だからこそハイジャッカーがSIMカードを盗もうとするのだ。

　ハイジャッカーたちはどうやってSIMを奪ったのだろうか。実はある程度の下準備ができればそんなに難しくはない。まずはキャリアに連絡して「SIMカードを紛失した。新しいSIMカードを準備したので、電話番号を再登録してほしい」と伝える。もちろん、携帯電話会社は本人確認を行う。米国では登録した現住所と社会保障番号があれば問題はないようだ。

　SIMハイジャッカーは、あらかじめ対象者の住所や社会保障番号を何らかの手段で入手しているというわけだ。例えば、SNSなどで公開された情報からたどったり、ソーシャルハックしたりすることでターゲットの情報を入手する。ともかくニセの本人確認が済み、SIMの書き換えに成功したらハイジャック成功だ。

　同様の手口でのハイジャック被害があまりにも増加したため、T-Mobileが契約者に警告メッセージを送る事態にもなっているというから困りものだ。

　日本では登録内容をユーザーの手元で書き換えるような形でのSIMカード交換は行われていないと思われる。交換は携帯会社が新しいSIMカードをユーザーに送り、通話もしくはネット経由で認証を経て開通するのが一般的だ。レイチェルさんのような悲劇はそうそう起こらないとは思いたい。

---

上司X：　米国でSIMハイジャックが横行しているという話だよ。

ブラックピット：　あの、ハイジャックって普通は飛行機の……。

上司X：　日本だと飛行機での乗っ取り行為だと理解されているけど、英語圏では一般的な「乗っ取り行為」や「強奪行為」のことを「ハイジャック（hijack、hijacking）」と言うんだよ。

ブラックピット：　うわー、何というドヤ顔。ではバスジャックとかシージャックとは言わないのですね。

上司X：　多分、「バスハイジャック」「シップハイジャック」だろうな。飛行機のハイジャックは「スカイジャック（skyjack）」というらしいよ。語源は諸説あるけど、禁酒法時代の米国で強盗が銃を突きつけながら「Hi, Jack!」と言ったからだとか……。

ブラックピット：　本題のSIMハイジャックは、米国独特のサポートシステムのせいな気もしますけどね。いくらキャリアが許可したとしてもユーザーが個人で持っているSIMに電話番号を書き込むって日本では無理ですよね。

上司X：　多分、日本ではムリだろうとは思うが……。しかし、珍しいアカウントを所有しているだけでSIMごと狙われるってのは何とも恐ろしいものだよ。

ブラックピット：　余分な数字とかが付いていない「レア」なアカウントってのは、まだユーザーが少ないときにサービスに登録した人の特典なんでしょうに。SIMを盗まれてアカウントも盗まれて……。

上司X：　日本では起こりにくいとはいえ、SIMハイジャックが発生しないように対策を講じてほしいところだな。念のためキミも気を付けて。

ブラックピット（本名非公開）

年齢：36歳（独身）
所属：某企業SE（入社6年目）

昔レーサーに憧れ、夢見ていたが断念した経歴を持つ（中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった）。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。

上司X（本名なぜか非公開）

年齢：46歳
所属：某企業システム部長（かなりのITベテラン）

中学生のときに秋葉原のBit-INN（ビットイン）で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR（でも中古らしい）。人懐っこく、面倒見が良い性格。