レイクは2026年4月8日、携帯電話番号を第三者が不正に乗っ取り、本人になりすましてカードローン申込みを行う事案が確認されているとして注意喚起を公表しました。レイクの案内では、この手口を SIMスワップ 携帯電話番号乗っ取り と説明しており、正規利用者の電話番号が攻撃者側に移されることで、本人確認や認証に使われるSMSを受け取られてしまうことが示唆されています。
何が起きたのか
レイクの公表では、最近、第三者が携帯電話番号を不正に乗っ取り、本人になりすましてカードローン申込みを行う事案が確認されているとしています。つまり、攻撃者は被害者名義の電話番号を使える状態にしたうえで、本人確認や認証のプロセスをすり抜けようとしているとみられます。
SIMスワップとは
SIMスワップは、攻撃者が被害者になりすまして通信事業者にSIMカードの再発行や番号移行をさせ、被害者の電話番号を自分のSIMで受けられるようにする手口です。警察庁の関連資料では、犯人が偽造した本人確認書類を携帯電話事業者の店舗に示してSIMの再発行を依頼し、不正に入手したSIMでSMS認証番号を受け取り、不正送金に使っていたと説明されています。
アメリカのCISAも、SIMスワップを、脅威アクターが携帯電話会社をだまして利用者の電話番号の支配権を移させるソーシャルエンジニアリングの一種と説明しています。SMSによる二要素認証は便利ですが、番号そのものを奪われると、認証コードの受信先まで攻撃者に渡ってしまうため、本人確認の根拠が崩れます。
SIMスワップの対策
まず基本になるのは、携帯電話会社の契約情報を守ることです。CISAは、携帯電話会社のアカウントにPINとMFAを設定することで、SIMスワップのリスク低減につながると案内しています。通信会社側の契約変更やSIM再発行の手続きで追加認証が求められるようにしておくことが、もっとも直接的な対策です。
次に重要なのは、SMS認証への依存を減らすことです。CISAの Phishing-Resistant MFA の資料やIPAの解説では、SIMスワップはSMS認証やワンタイムパスワードを突破する攻撃として位置づけられており、パスキーやフィッシング耐性のあるMFAはこの手口への耐性が高いとされています
関連記事
フィッシング詐欺とは? 手口や対策を解説
RMM 製品 N-centralの脆弱性が悪用の可能性-CISAがKEVに追加(CVE-2025-8875)
CISA、医療機器 大手 Stryker ストライカーへのサイバー攻撃後、Microsoft Intuneなどエンドポイント管理基盤の堅牢化を要請
CVE(共通脆弱性識別子)プログラムに動き:CISAが継続性を保証、非営利の「CVE財団」も始動
CISAが5件の深刻な脆弱性をKEVカタログに追加-ASUSルーターやCraft CMSにリモートコード実行リスク
MicrosoftのSharePoint 脆弱性は中国系ハッカーに悪用され、バグ修正も中国拠点のエンジニアが実施
中国政府系 ハッカー、仮想化基盤を狙う新バックドアBRICKSTORMを利用したサイバー攻撃 キャンペーン
CISAがサポート 終了 済みのルーターやファイアウォールを排除する指令
医療機器 大手 ストライカー、サイバー攻撃の被害から復旧、生産や流通も再稼働
