直井裕太なおい・ゆうた
ライター。尊敬する文化人は杉作J太郎。目標とするファウンダーは近藤社長。LINEより微信。生活費の支払いは人民元という国境を越えるヒモおじさん。ガチ中華はブームじゃなくって、主食です。
偽造されたマイナンバーカードを使って他人のスマホの電話番号を乗っ取り! そして各種アプリのアカウントに侵入し、コード決済やECで高額な決済をするというマイナンバーカード偽造問題。その手口、政府や企業の対策を徹底解説です!
5月2日、大阪府八尾市の松田憲幸市議がXに投稿したことから詳細が明らかになった「マイナンバーカード偽造」詐欺被害。
続いて東京都の風間穣都議も同様の被害を公表し、15日にはマイナンバーカードを偽造した容疑で中国人グループが逮捕された。そんな偽造問題をITジャーナリストの三上洋さんに解説してもらいます!
――今回、偽造されたマイナンバーカードにはどのような特徴があるのでしょうか?
三上 カードの外見だけ複製されたもので、マイナンバーカードにあるICチップ内の情報はコピーされていません。つまり、本人確認作業をマイナンバーカードの目視のみで行なう事業者を標的としたものになります。
――偽造グループはどのような目的、そして手口で偽造マイナンバーカードを使っていたのでしょうか?
三上 まず目的となるのは、SIMスワップと呼ばれるスマホの電話番号の乗っ取りです。偽造グループはキャリアショップで、偽造マイナンバーカードを見せ、紛失を理由にSIMカード再発行手続きを行ないます。
SIMを再発行したことで、被害者が使用中の端末は携帯基地局からの電波の送受信が停止。これで電話番号の乗っ取りが完了というわけです。
――でも、なぜキャリアショップは偽造カードだと見抜けないのですか?
三上 被害者である八尾市の松田市議は自身のホームページ上で住所、氏名などの個人情報を公開しており、偽造グループはこれらを無記名の偽カードにプリントします。
さらに、キャリアショップで機種変更手続きを行なう実行犯の顔写真もプリント。このようにしてショップ側によるマイナンバーカードの目視での確認を突破しているのです。
実は2022年に偽造運転免許証を使ったSIMスワップが多発しました。これに対して警察と総務省は、本人確認に運転免許証を利用している事業者に、納税証明書の提示など本人確認の厳格化を要請したことで、23年3月以降は偽造運転免許証による各種詐欺犯罪はほぼ根絶されました。しかし、マイナンバーカードに関してはそういった対策がありませんでした。
――今回、松田市議はPayPayの不正利用により、Yahoo!ショッピングでロレックスの腕時計(225万円)を購入されるなどの大きな被害を受けました。偽造グループがPayPayを不正利用する手順は?
三上 まずSIMスワップした電話番号からPayPayにログインを試みます。PayPayはIDやパスワードを忘れてしまった場合でも、それにひもづいた携帯番号があればSMS経由でパスワードなどの再認証が行なえる。
これでスマホの電話番号だけでなく、PayPayのアカウントの乗っ取りも完了。そしてPayPayアプリのアカウント情報からは、被害者が常用するメールアドレスも確認できる。
一般的なネットサービスはメールアドレスを【アカウント名】と設定していることが多く、パスワードが不明でもメールアドレスとそれにひもづいた携帯番号さえあればパスワードの再生設定が行なえるのです。
つまり、ひとたび端末がSIMスワップされると、各種ネットサービスのアカウントまで乗っ取られる危険にさらされてしまうのです。
――海外でもこのようなSIMスワップの手口は一般的なのでしょうか?
三上 海外でも10年代中盤から発生していますが、ほぼオンラインで契約が完結するeSIMのスワップ被害が大半。身分証を偽造し、実店舗で行なうのは日本ならではといえるでしょう。
――ユーザーがSIMスワップ被害に対策できることは?
三上 正直、ありません。住所などの個人情報が流出している場合、誰でもマイナンバーカードを偽造される危険性があります。唯一の防御策は、利用中のスマホが突然通信できなくなった場合に、すぐに契約する通信会社へ連絡して状況を確認することです。
――では、行政や店舗側の対策はどうでしょう。デジタル庁の河野太郎大臣は目視でのチェック方法を紹介していましたけど?
三上 現状、目視でチェックする場合は、マイナンバーカードの表面右上にプリントされる「マイナちゃん」で判別できます。本物は角度によって色が変化するのが特徴です。
そして、目視よりも確実な判別方法はマイナンバーカードのICチップを読み取るリーダーの普及になります。しかし、現状でリーダーの普及率は低く、河野大臣はその互換機能を持ったアプリの開発を検討することを発表しました。
――そのほか、早急に行なえそうな対策はありますか?
三上 金融機関アプリのようなワンタイムパスワード認証をコード決済やECにもより普及させること。あと、私の個人的なアイデアですが、マイナンバーカードに写真や住所など個人情報を一切表示しない。これで判別手段がリーダーのみになり、店舗でのSIMスワップは防げるでしょう。
現在、多くのクレジットカードはセキュリティを重視してICチップ優先のナンバーレス化されたものになっています。ただ、マイナンバーカードをそうすると、"マイナンバーレスカード"と呼ばれてしまいそうですが......。
――そのマイナンバーレス案は意外とアリかと思います!
ライター。尊敬する文化人は杉作J太郎。目標とするファウンダーは近藤社長。LINEより微信。生活費の支払いは人民元という国境を越えるヒモおじさん。ガチ中華はブームじゃなくって、主食です。