Key takeaways
SIMスワップと「Mão Fantasma」は、現在のブラジルにおけるモバイル不正の主要ベクトル。チェーンの第一段となる通信事業者が番号と重要フローを守れなければ、損失・制裁・信頼低下に直結します。
従来型の本人確認は、流出した静的データへの依存、危険にさらされたチャネルでのSMS OTP、脆弱な人手プロセスによって破綻します。番号ポータビリティ(MNP)とSIM再発行/複製は最重要のクリティカルポイントで、強い本人確認、番号/回線シグナル、代替チャネルでの確認、実行猶予(冷却)期間が不可欠です。
規制:AnatelはMNPのSMS確認(応答ウィンドウ付き)を要求。更新されたRGSTとRGCは透明性とトレーサビリティを強化。SMSは必須ですが、高リスク環境における強い認証としては不十分です。
効果的な戦略とDiditの役割:リアルタイムKYC(身分証・セルフィー・ライブネス)、高影響フローでの生体認証+MFA、番号シグナルに基づく意思決定。自動化かつ柔軟なプラットフォームが人手審査依存を下げ、検知を向上し、統合容易性と明確な価格を提供します。
ブラジルではデジタル犯罪がピークを迎え、モバイル回線が弱点になっています。SIMスワップにより攻撃者は番号を乗っ取り、SMSのワンタイムパスワード(OTP)を傍受して銀行口座や機密性の高い金融アプリに侵入します。結果は――FEBRABAN(ブラジル銀行連盟)によれば、2024年の銀行業界の損失は101億レアル。
被害は金融機関だけではありません。チェーンの起点である通信事業者も、本人なりすましにより直接損失、規制制裁、顧客信頼の毀損に直面します。
詐欺師の手口は明確です。ソーシャルエンジニアリングでオペレーションの弱点を突き、ダークウェブで流出(または窃取)したデータで検証をすり抜けます。さらに、Mão Fantasma(幽霊の手)も見過ごせません。これは被害者にリモートアクセス用アプリのインストールを誘導し、気づかれずに端末を支配して不正送金を行う手口です。銀行やFEBRABANは、電話の指示でアプリを入れたり第三者にリモートアクセスを与えたりしないよう勧告しています。
SIMスワップとは? なぜブラジルで増えているのか
SIMスワップは、ブラジルの通信業界における最大級の脅威の一つです。犯罪者が通信事業者をだまして被害者番号で新しいSIMを発行させる――ソーシャルエンジニアリングとダークウェブ流出データの合わせ技で成立します。
番号を掌握した攻撃者は、正規ユーザーに届くSMS OTP(ログインやアカウント復旧用)を奪い、アカウント乗っ取り(Account Takeover)を引き起こします。
SIMスワップは業界が報告する高い成功率とともに拡大しており、詐欺対策・セキュリティチームの最優先課題であり続けています。
なぜ通信の現場で「従来型の本人確認」は通用しないのか
ブラジルは世界でも有数に過激なサイバー犯罪環境です。2秒に1回、本人なりすましの試行が起き、企業はしばしば検知・阻止・抑止に失敗します。
SIMスワップ件数の正確な公式統計はありませんが、毎年数万人規模が影響を受けていると推定されます。
要因はツールとプロセスの脆弱性です。ブラジルで広く使われるソリューションは、静的照合、人手審査、硬直したプロセスに依存して不十分であることが露呈。ツールだけでなくアプローチ自体も課題です。
データ流出とオペレーターの脆弱性
ダークウェブでの大規模な個人情報流出により、静的データ(CPF、誕生日など)だけでは初期の基礎的な関門を突破されます。情報が既にパブリック化した環境では、「知っていること」に基づく検証は本人性の担保になりません。
加えて、多くの社内プロセスは依然として人手の確認に過度依存(店舗やコールセンター)し、リアルタイムのリスクシグナル解析から遠いのが現状です。
その結果、生態系はこうなります:
- 正規顧客だけが摩擦を負い、攻撃者は止められないことがある。
- 犯罪者は流出情報を使ってSIM再発行、アカウント復旧、強制的な番号移行を実施。
- 意思決定は弱い証拠(静的データ)に基づき、強い証拠(ライブネス付の顔認証、回線シグナル、端末レピュテーション)が不足。
流出と番号ポータビリティ:見落とされがちな盲点
事業者間の番号ポータビリティ(MNP)とSIMの再発行/複製が、運用上の最大リスク領域です。ここを突破されると攻撃者は番号を完全支配し、その後ろに連なるあらゆる認証も掌握します。
対策として事業者は高い保証レベルの標準を採用すべきです。
- 申請時点での強力な本人確認(身分証+セルフィー+ライブネス検知)――アプリ/ウェブ、コールセンター、店舗の全チャネルで。
- 認証チャネル選択の前に番号/回線シグナルを参照(回線種別、SIM使用期間、直近のスワップ兆候など)。
- 代替チャネル(プッシュ通知や検証済みメール)での追加確認と、センシティブ変更に対する実行猶予(冷却)期間の設定。
ブラジルの規制は何と言っているか(実務サマリー)
Anatel(ブラジル国家電気通信庁)は、携帯番号ポータビリティの確認をSMSで行うことを義務付けています。通知はユーザーの現在の回線に送られ、契約者は最長6時間以内に回答が必要。未回答または「No」の回答なら自動キャンセル。これは高リスク環境での強い認証の代替にはならないものの、すべての通信事業者が守るべき規制の最低ラインです。
同庁はまた、電気通信サービス一般規則(RGST)を承認し、業界ルールを統合・更新しました。
さらに消費者権利一般規則(RGC)は2025年9月に改定・統合され、ユーザー対応における透明性・品質・可逆性の義務を強化。これは、MNP、SIM再発行、データ変更の告知・実行方法や、紛争時のトレーサビリティに影響します。
2025年のブラジル通信事業者向けKYC戦略
適切なツールとプロセスにより、通信事業者は本人なりすましを大幅に低減できます。
- オンボーディング時のリアルタイムKYC。 書類検証、1:1の顔照合、ライブネス検知で、合成IDやなりすまし開通を阻止。
- SIM再発行やMNPに顔認証とMFAを組み込み。 重要プロセスに生体MFAを組み込むことで、ソーシャルエンジニアリングへの耐性を強化。
- リスクシグナルに基づくオーケストレーション。 SMS OTP送信前に、回線種別、SIMの“年齢”、直近のスワップ兆候などを評価。高リスクなら生体認証やプッシュ/検証済みメールへ代替ルーティング、低リスクならスムーズに継続。
- AIと行動分析。 時刻・位置・要求のリズムをもとに異常を検知し、前倒しでブロック。
Diditは通信事業者の本人なりすましをどう減らすか
ブラジルは例外的に高い不正ボリュームに直面しており、オペレーターの最優先はSIMスワップ、悪意あるMNP、センシティブなデータ変更による損失の削減です。Diditはその目的に特化して設計された本人確認プラットフォームです。
運用上の成果は?
- 人手監督への依存を削減。 Diditは大規模環境での人手審査依存を下げ、検知を強化。監督性と監査トレースも確保。
- グローバルな不正ナレッジ。 世界中の数千件のパターンを土台に、兆候を識別して適切に対応。
- 政府ソースとの接続。 必要な反不正チェックのため公的データベースと統合。
- エンドツーエンドの自動化。 人手審査のボトルネックを回避し、オンボーディング/サービシングを高速化しつつ統制を維持。
- 柔軟でカスタマイズ可能なワークフロー。 チケット不要でルール変更、リスク時に追加ステップを自動挿入。
- 透明性と統合容易性。 APIとノーコードモジュールで迅速にフローを起動、明確な料金体系。
Diditが一般的な市場の限界を超える理由
従来ベンダーが静的照合・人手審査・硬直プロセスに頼る中、Diditは自動化・オーケストレーション可能なレイヤーを提供。公的ソースと連携し、人手依存を下げ、検知を高めつつUXを制御。完全な本人確認とグローバルな不正パターン基盤を組み合わせ、新規開通、MNP、SIM再発行をリアルタイムで判断します。
ブラジルの通信事業者向けKYC:摩擦なくSIMスワップを防止
<p style="color:#fff !important; font-size: 1.125rem; line-height: 1.6; margin-bottom: 2.5rem;">
Anatelに準拠し、
<strong style="color:inherit">リアルタイムの本人確認、生体認証、リスクベースのオーケストレーション</strong>
により番号ポータビリティやSIM再発行時の不正を防止します。
Diditなら無料で始められ、カスタマイズされたフローを展開し、SIMスワップ詐欺を先取りできます。
</p>
<div style="display: flex; flex-wrap: wrap; justify-content: center; gap: 1rem;">
<a href="https://didit.me/ja/get-a-demo" style="
display: inline-flex; align-items: center; justify-content: center;
background: white; color: #2567FF; padding: 0.9rem 1.8rem; border-radius: 9999px;
font-weight: 600; text-decoration: none; font-size: 1rem;
box-shadow: 0 4px 10px rgba(255,255,255,0.3); transition: all 0.3s ease;
" onmouseover="this.style.background='#f0f4ff';" onmouseout="this.style.background='white';">
チームに相談する →
</a>
<a href="https://business.didit.me/" style="
display: inline-flex; align-items: center; justify-content: center;
border: 2px solid white; background: transparent; color: white;
padding: 0.9rem 1.8rem; border-radius: 9999px; font-weight: 600;
text-decoration: none; font-size: 1rem; transition: all 0.3s ease;
" onmouseover="this.style.background='rgba(255,255,255,0.1)';" onmouseout="this.style.background='transparent';">
無料で自分から始める
</a>
</div>
よくある質問
ブラジル通信におけるKYC:よくある疑問にすばやく回答
<div class="faq-container" role="region" aria-label="通信のKYCに関するFAQ">
<!-- FAQ 1 -->
<div class="faq-item">
<button id="question-1" class="faq-question" aria-expanded="false" aria-controls="answer-1">
<span>番号ポータビリティはSMS確認だけで本人確認として足りますか?</span>
<span class="faq-icon" aria-hidden="true">+</span>
</button>
<div class="faq-answer" id="answer-1" role="region" aria-labelledby="question-1">
<div class="faq-answer-text">
いいえ。SMSはAnatelが定めるポータビリティ確認の必須要件ですが、強い認証ではありません。高リスク時は、生体認証、番号/回線シグナル、代替チャネル(プッシュ通知や検証済みメール)での確認を組み合わせるべきです。
</div>
</div>
</div>
<!-- FAQ 2 -->
<div class="faq-item">
<button id="question-2" class="faq-question" aria-expanded="false" aria-controls="answer-2">
<span>通信で「高インパクト」として扱うべき操作は?</span>
<span class="faq-icon" aria-hidden="true">+</span>
</button>
<div class="faq-answer" id="answer-2" role="region" aria-labelledby="question-2">
<div class="faq-answer-text">
番号ポータビリティ、SIMの再発行/複製、センシティブな顧客データの変更です。身分証・セルフィー・ライブネスを用いた強い本人確認が必要で、リスク兆候があれば実行前に冷却期間を設けます。
</div>
</div>
</div>
<!-- FAQ 3 -->
<div class="faq-item">
<button id="question-3" class="faq-question" aria-expanded="false" aria-controls="answer-3">
<span>企業ブログでMão Fantasmaについてどう表現すべき?</span>
<span class="faq-icon" aria-hidden="true">+</span>
</button>
<div class="faq-answer" id="answer-3" role="region" aria-labelledby="question-3">
<div class="faq-answer-text">
ソーシャルエンジニアリングによるリモートアクセス型の詐欺です。攻撃者がアプリのインストールを誘導し、端末を支配します。電話での指示によるアプリ導入やコード共有を避けるのが業界の推奨です。
</div>
</div>
</div>
<!-- FAQ 4 -->
<div class="faq-item">
<button id="question-4" class="faq-question" aria-expanded="false" aria-controls="answer-4">
<span>規制順守とユーザー体験をどう両立する?</span>
<span class="faq-icon" aria-hidden="true">+</span>
</button>
<div class="faq-answer" id="answer-4" role="region" aria-labelledby="question-4">
<div class="faq-answer-text">
MNPのSMS確認は必須として維持し、強い認証はリスクが高い場合にのみ追加します。これにより摩擦を最小化しつつAnatel要件を満たせます。
</div>
</div>
</div>
<!-- FAQ 5 -->
<div class="faq-item">
<button id="question-5" class="faq-question" aria-expanded="false" aria-controls="answer-5">
<span>コンプライアンス担当は何を記録すべき?</span>
<span class="faq-icon" aria-hidden="true">+</span>
</button>
<div class="faq-answer" id="answer-5" role="region" aria-labelledby="question-5">
<div class="faq-answer-text">
完全なトレーサビリティ:発火したルール、参照した番号/回線シグナル、生体認証のエビデンスと結果。監査や紛争解決が容易になります。
</div>
</div>
</div>
<!-- FAQ 6 -->
<div class="faq-item">
<button id="question-6" class="faq-question" aria-expanded="false" aria-controls="answer-6">
<span>MVNOやeSIMで、セキュリティを落とさず誤検知を抑えるには?</span>
<span class="faq-icon" aria-hidden="true">+</span>
</button>
<div class="faq-answer" id="answer-6" role="region" aria-labelledby="question-6">
<div class="faq-answer-text">
アダプティブな手順編成を。低リスクは最小フロー、高リスクは生体認証+代替チャネル確認にし、必要に応じて冷却期間を設けます。
</div>
</div>
</div>
<!-- FAQ 7 -->
<div class="faq-item">
<button id="question-7" class="faq-question" aria-expanded="false" aria-controls="answer-7">
<span>なぜ静的データ(CPF、誕生日)だけでは不十分?</span>
<span class="faq-icon" aria-hidden="true">+</span>
</button>
<div class="faq-answer" id="answer-7" role="region" aria-labelledby="question-7">
<div class="faq-answer-text">
広く流出・共有されているためです。情報が公開知となれば、「知識ベース」の検証は本人性の証明になりません。
</div>
</div>
</div>
<!-- FAQ 8 -->
<div class="faq-item">
<button id="question-8" class="faq-question" aria-expanded="false" aria-controls="answer-8">
<span>チャネル強化のため、エンドユーザーへ何を伝えるべき?</span>
<span class="faq-icon" aria-hidden="true">+</span>
</button>
<div class="faq-answer" id="answer-8" role="region" aria-labelledby="question-8">
<div class="faq-answer-text">
明確なメッセージ:電話指示でアプリを入れない、コードを共有しない、各サービスでMFAを有効化する。
</div>
</div>
</div>
</div>
