近年、銀行やSNS、ショッピングサイトなどでSMSによる二段階認証が一般的に利用されるようになりました。しかし、その利便性の裏側で「SMS乗っ取り」と呼ばれるサイバー攻撃が急増しています。
攻撃者は認証コードを不正に受け取り、アカウントへの不正ログインや金銭の不正送金、個人情報の窃取といった深刻な被害を引き起こします。
本記事では、SMS乗っ取りの特徴や被害の兆候、被害を最小限に抑えるための具体的な対処法と防止策を、サイバーセキュリティ専門家の視点からわかりやすく解説します。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
目次
SMS乗っ取りとは?
SMS乗っ取りとは、攻撃者が不正に利用者のSMSを傍受し、認証コードや個人情報を盗み取るサイバー攻撃の一種です。特にSMSを使った二段階認証(2FA)は狙われやすく、アカウント不正利用の入口として悪用されるケースが増えています。
攻撃者は利用者の電話番号を悪用し、SIMカードを不正に差し替える「SIMスワップ詐欺」や、SMS転送設定を操作してメッセージを盗み見にして、銀行口座・SNS・メールなど複数のサービスに不正アクセスされ、金銭被害や情報漏洩につながることがあります。
代表的なSMS乗っ取りの手口
SMS乗っ取りの典型的な手口を以下に整理します。単独ではなく組み合わせて行われる場合もあるため、注意が必要です。
- SIMスワップ詐欺(キャリアを装いSIMを再発行させる)
- 不正アプリやマルウェアによるSMS転送
- キャリアアカウントの乗っ取りによるメッセージ傍受
- フィッシング詐欺による認証コードの搾取
SMSを利用したフィッシング詐欺の具体的な手口については以下の記事を解説しています。
>SMS詐欺(スミッシング)とは?手口や被害、対処法について解説
特に近年は、宅配業者を装った不在通知SMSが代表的な手口として多発しています。もし誤ってクリックしてしまった場合の注意点は、以下の記事でも詳しく説明しています。
SMS乗っ取りによって被害を受けた場合、まず重要になるのはどの情報が漏えいしたのか、どの経路で盗まれたのかを正確に把握することです。
自己判断での対応には限界があるため、専門家による客観的な分析と調査を受けることが、被害拡大を防ぐための最も確実な方法といえます。早期に相談することで、被害の範囲を最小限に抑え、再発防止につながります。
【チェックリスト】SMSが乗っ取られたサイン
SMSの不正利用は気づかないうちに進行することがあります。以下のチェックリストのうち、1つでも当てはまる場合は、乗っ取りの疑いが高いため注意が必要です。
- 身に覚えのないSMSが自動送信されている
- 履歴に不明な番号やメッセージが残っている
- 認証コードなど重要なSMSが届かなくなった
- 通信量や通話料が急に増加している
- メッセージ転送設定が勝手に変更されている
- スマートフォンの動作が遅い・バッテリー消耗が早い
- 未知のデバイスやアプリからのログイン通知が届く
- SNSで「不審なSMSやDMを送っている」と指摘された
- 利用サービスで身に覚えのないパスワード変更通知が届く
上記サインに心当たりがある場合は、端末のセキュリティ設定を見直すだけでは不十分な可能性があります。
SMSの乗っ取りは個人情報の流出や不正送金など深刻な被害につながる恐れがあるため、携帯キャリアや利用中サービスへの連絡と併せて、専門のフォレンジック調査を依頼することが有効です。
SMS乗っ取りを疑った場合の対処法
SMSやアカウントの乗っ取りが疑われる場合、最も重要なのはネットワークの切断とパスワード変更です。被害を広げないためには、通信への遮断とアカウント保護が欠かせません。その上で、次の手順を順番に実施しましょう。
通信キャリアへの連絡(SIM再発行など)
SIMスワップや不正利用が疑われる場合は、契約している携帯キャリアに早急に連絡し、SIMの利用停止や再発行を依頼してください。特にSMS転送設定が勝手に変更されている場合は、すぐに解除手続きを行う必要があります。
関連アカウントのログイン履歴確認と変更
メール・SNS・オンラインバンキングなど、SMS認証を利用しているサービスのログイン履歴を確認し、身に覚えのないアクセスがあればパスワードを全て変更しましょう。可能であれば二段階認証の再設定を行い、安全なデバイスからのみ操作してください。
警察・調査会社への相談と連携
金銭的被害や個人情報漏洩の可能性がある場合は、警察や消費者センターへ被害届を提出することが推奨されます。さらに被害範囲を正確に把握し、どのような経路で情報が流出したのかを調べるには、フォレンジック調査会社への相談が効果的です。
ログ解析や通信履歴の追跡により被害の全貌を明らかにし、再発防止のための具体的な対策を講じることができます。
SMS乗っ取りが発生した場合はハッキング・乗っ取り調査の専門家に相談する
ハッキング、不正アクセス、乗っ取り、情報漏えいのような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。
まずは、お気軽にご相談ください。
SMS乗っ取りを防ぐための5つの対策
SMS乗っ取りを防ぐには、複数の観点から対策を講じることが重要です。以下の5つの対策を実践することで、被害リスクを大幅に低減できます。
1. SIMスワップ詐欺の防止
SIMスワップ詐欺とは、携帯キャリアを装ってSIMを不正に再発行させる手口です。次の対策を行うことでリスクを大きく減らせます。
- キャリアに連絡し「SIMスワップ保護」やセキュリティ強化オプションを有効化する。
- 番号変更やSIM再発行の際に、追加の本人確認を必須にする。
- アカウント設定にPINコードやセキュリティ質問を追加して不正操作を防ぐ。
2. 二段階認証(2FA)をSMS以外に切り替える
SMSを使った二段階認証は便利ですが、攻撃者に狙われやすいため他の手段に切り替えるのが効果的です。
- Google AuthenticatorやAuthyなどの認証アプリを利用する。
- YubiKeyなどのハードウェアトークンを導入する。
- サービスにログインし、アカウント設定を開く。
- 二段階認証設定から「認証アプリ」を選択。
- QRコードをスキャンしてアプリに追加。
- 生成されたコードを入力して設定を完了。
3. SMS転送設定の確認と無効化
不正なSMS転送設定を悪用されると、攻撃者にメッセージを盗み見られる可能性があります。必ず転送設定を確認しましょう。
- 「設定」→「メッセージ」を開く。
- 「テキストメッセージ転送」を確認。
- 不審なデバイスがあれば削除・無効化。
- 「設定」から「メッセージ」アプリのオプションを開く。
- 転送先リストを確認し、不審な項目があれば削除。
4. フィッシング攻撃への注意
不在通知を装った偽SMSなど、フィッシング攻撃はSMS乗っ取りの大きな要因です。次の点を習慣づけましょう。
- 知らない送信元や怪しいリンクは開かない。
- ログインが必要な場合は公式サイトやアプリから直接アクセスする。
- 不審なSMSは削除し、必要に応じて携帯キャリアに報告する。
>>【注意喚起】フィッシング詐欺とは?手口・防止法・被害時の対処法まで徹底解説
5. 端末・アプリのセキュリティ管理
日常的な端末管理を徹底することで、乗っ取りのリスクを大幅に低減できます。
- OSやアプリは常に最新版にアップデートする。
- 不要なアプリや不審な権限を持つアプリは削除する。
- ウイルス対策ソフトやセキュリティアプリを導入する。
- 複雑で使い回しのないパスワードを設定し、定期的に変更する。
まとめ
SMS乗っ取りは、金融機関やSNSの二段階認証を狙った深刻な脅威です。防止にはSIMスワップ詐欺の対策、二段階認証をSMS以外に切り替えること、SMS転送設定の確認が有効です。
被害が疑われる場合は、携帯キャリアへの連絡とパスワード変更を直ちに行いましょう。さらに被害範囲の特定や再発防止には、フォレンジック調査の依頼が最も確実です。早期対応が被害拡大を防ぐ鍵となります。
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
