ブラジルの通信業界におけるKYC:SIMスワップなどの不正をどう止めるか
Key takeaways
SIMスワップと「Mão Fantasma」は、現在のブラジルにおけるモバイル不正の主要ベクトル。チェーンの第一段となる通信事業者が番号と重要フローを守れなければ、損失・制裁・信頼低下に直結します。
従来型の本人確認は、流出した静的データへの依存、危険にさらされたチャネルでのSMS OTP、脆弱な人手プロセスによって破綻します。番号ポータビリティ(MNP)とSIM再発行/複製は最重要のクリティカルポイントで、強い本人確認、番号/回線シグナル、代替チャネルでの確認、実行猶予(冷却)期間が不可欠です。
規制:AnatelはMNPのSMS確認(応答ウィンドウ付き)を要求。更新されたRGSTとRGCは透明性とトレーサビリティを強化。SMSは必須ですが、高リスク環境における強い認証としては不十分です。
効果的な戦略とDiditの役割:リアルタイムKYC(身分証・セルフィー・ライブネス)、高影響フローでの生体認証+MFA、番号シグナルに基づく意思決定。自動化かつ柔軟なプラットフォームが人手審査依存を下げ、検知を向上し、統合容易性と明確な価格を提供します。
ブラジルではデジタル犯罪がピークを迎え、モバイル回線が弱点になっています。SIMスワップにより攻撃者は番号を乗っ取り、SMSのワンタイムパスワード(OTP)を傍受して銀行口座や機密性の高い金融アプリに侵入します。結果は――FEBRABAN(ブラジル銀行連盟)によれば、2024年の銀行業界の損失は101億レアル。
被害は金融機関だけではありません。チェーンの起点である通信事業者も、本人なりすましにより直接損失、規制制裁、顧客信頼の毀損に直面します。
詐欺師の手口は明確です。ソーシャルエンジニアリングでオペレーションの弱点を突き、ダークウェブで流出(または窃取)したデータで検証をすり抜けます。さらに、Mão Fantasma(幽霊の手)も見過ごせません。これは被害者にリモートアクセス用アプリのインストールを誘導し、気づかれずに端末を支配して不正送金を行う手口です。銀行やFEBRABANは、電話の指示でアプリを入れたり第三者にリモートアクセスを与えたりしないよう勧告しています。
SIMスワップとは? なぜブラジルで増えているのか
SIMスワップは、ブラジルの通信業界における最大級の脅威の一つです。犯罪者が通信事業者をだまして被害者番号で新しいSIMを発行させる――ソーシャルエンジニアリングとダークウェブ流出データの合わせ技で成立します。
番号を掌握した攻撃者は、正規ユーザーに届くSMS OTP(ログインやアカウント復旧用)を奪い、アカウント乗っ取り(Account Takeover)を引き起こします。
SIMスワップは業界が報告する高い成功率とともに拡大しており、詐欺対策・セキュリティチームの最優先課題であり続けています。
なぜ通信の現場で「従来型の本人確認」は通用しないのか
ブラジルは世界でも有数に過激なサイバー犯罪環境です。2秒に1回、本人なりすましの試行が起き、企業はしばしば検知・阻止・抑止に失敗します。
SIMスワップ件数の正確な公式統計はありませんが、毎年数万人規模が影響を受けていると推定されます。
要因はツールとプロセスの脆弱性です。ブラジルで広く使われるソリューションは、静的照合、人手審査、硬直したプロセスに依存して不十分であることが露呈。ツールだけでなくアプローチ自体も課題です。
データ流出とオペレーターの脆弱性
ダークウェブでの大規模な個人情報流出により、静的データ(CPF、誕生日など)だけでは初期の基礎的な関門を突破されます。情報が既にパブリック化した環境では、「知っていること」に基づく検証は本人性の担保になりません。
加えて、多くの社内プロセスは依然として人手の確認に過度依存(店舗やコールセンター)し、リアルタイムのリスクシグナル解析から遠いのが現状です。
その結果、生態系はこうなります:
- 正規顧客だけが摩擦を負い、攻撃者は止められないことがある。
- 犯罪者は流出情報を使ってSIM再発行、アカウント復旧、強制的な番号移行を実施。
- 意思決定は弱い証拠(静的データ)に基づき、強い証拠(ライブネス付の顔認証、回線シグナル、端末レピュテーション)が不足。
流出と番号ポータビリティ:見落とされがちな盲点
事業者間の番号ポータビリティ(MNP)とSIMの再発行/複製が、運用上の最大リスク領域です。ここを突破されると攻撃者は番号を完全支配し、その後ろに連なるあらゆる認証も掌握します。
対策として事業者は高い保証レベルの標準を採用すべきです。
- 申請時点での強力な本人確認(身分証+セルフィー+ライブネス検知)――アプリ/ウェブ、コールセンター、店舗の全チャネルで。
- 認証チャネル選択の前に番号/回線シグナルを参照(回線種別、SIM使用期間、直近のスワップ兆候など)。
- 代替チャネル(プッシュ通知や検証済みメール)での追加確認と、センシティブ変更に対する実行猶予(冷却)期間の設定。
ブラジルの規制は何と言っているか(実務サマリー)
Anatel(ブラジル国家電気通信庁)は、携帯番号ポータビリティの確認をSMSで行うことを義務付けています。通知はユーザーの現在の回線に送られ、契約者は最長6時間以内に回答が必要。未回答または「No」の回答なら自動キャンセル。これは高リスク環境での強い認証の代替にはならないものの、すべての通信事業者が守るべき規制の最低ラインです。
同庁はまた、電気通信サービス一般規則(RGST)を承認し、業界ルールを統合・更新しました。
さらに消費者権利一般規則(RGC)は2025年9月に改定・統合され、ユーザー対応における透明性・品質・可逆性の義務を強化。これは、MNP、SIM再発行、データ変更の告知・実行方法や、紛争時のトレーサビリティに影響します。
2025年のブラジル通信事業者向けKYC戦略
適切なツールとプロセスにより、通信事業者は本人なりすましを大幅に低減できます。
- オンボーディング時のリアルタイムKYC。 書類検証、1:1の顔照合、ライブネス検知で、合成IDやなりすまし開通を阻止。
- SIM再発行やMNPに顔認証とMFAを組み込み。 重要プロセスに生体MFAを組み込むことで、ソーシャルエンジニアリングへの耐性を強化。
- リスクシグナルに基づくオーケストレーション。 SMS OTP送信前に、回線種別、SIMの“年齢”、直近のスワップ兆候などを評価。高リスクなら生体認証やプッシュ/検証済みメールへ代替ルーティング、低リスクならスムーズに継続。
- AIと行動分析。 時刻・位置・要求のリズムをもとに異常を検知し、前倒しでブロック。
Diditは通信事業者の本人なりすましをどう減らすか
ブラジルは例外的に高い不正ボリュームに直面しており、オペレーターの最優先はSIMスワップ、悪意あるMNP、センシティブなデータ変更による損失の削減です。Diditはその目的に特化して設計された本人確認プラットフォームです。
運用上の成果は?
- 人手監督への依存を削減。 Diditは大規模環境での人手審査依存を下げ、検知を強化。監督性と監査トレースも確保。
- グローバルな不正ナレッジ。 世界中の数千件のパターンを土台に、兆候を識別して適切に対応。
- 政府ソースとの接続。 必要な反不正チェックのため公的データベースと統合。
- エンドツーエンドの自動化。 人手審査のボトルネックを回避し、オンボーディング/サービシングを高速化しつつ統制を維持。
- 柔軟でカスタマイズ可能なワークフロー。 チケット不要でルール変更、リスク時に追加ステップを自動挿入。
- 透明性と統合容易性。 APIとノーコードモジュールで迅速にフローを起動、明確な料金体系。
Diditが一般的な市場の限界を超える理由
従来ベンダーが静的照合・人手審査・硬直プロセスに頼る中、Diditは自動化・オーケストレーション可能なレイヤーを提供。公的ソースと連携し、人手依存を下げ、検知を高めつつUXを制御。完全な本人確認とグローバルな不正パターン基盤を組み合わせ、新規開通、MNP、SIM再発行をリアルタイムで判断します。