Key takeaways
 

SIMスワップと「Mão Fantasma」は、現在のブラジルにおけるモバイル不正の主要ベクトル。チェーンの第一段となる通信事業者が番号と重要フローを守れなければ、損失・制裁・信頼低下に直結します。

従来型の本人確認は、流出した静的データへの依存、危険にさらされたチャネルでのSMS OTP、脆弱な人手プロセスによって破綻します。番号ポータビリティ（MNP）とSIM再発行/複製は最重要のクリティカルポイントで、強い本人確認、番号/回線シグナル、代替チャネルでの確認、実行猶予（冷却）期間が不可欠です。

規制：AnatelはMNPのSMS確認（応答ウィンドウ付き）を要求。更新されたRGSTとRGCは透明性とトレーサビリティを強化。SMSは必須ですが、高リスク環境における強い認証としては不十分です。

効果的な戦略とDiditの役割：リアルタイムKYC（身分証・セルフィー・ライブネス）、高影響フローでの生体認証＋MFA、番号シグナルに基づく意思決定。自動化かつ柔軟なプラットフォームが人手審査依存を下げ、検知を向上し、統合容易性と明確な価格を提供します。

ブラジルではデジタル犯罪がピークを迎え、モバイル回線が弱点になっています。SIMスワップにより攻撃者は番号を乗っ取り、SMSのワンタイムパスワード（OTP）を傍受して銀行口座や機密性の高い金融アプリに侵入します。結果は――FEBRABAN（ブラジル銀行連盟）によれば、2024年の銀行業界の損失は101億レアル。

被害は金融機関だけではありません。チェーンの起点である通信事業者も、本人なりすましにより直接損失、規制制裁、顧客信頼の毀損に直面します。

詐欺師の手口は明確です。ソーシャルエンジニアリングでオペレーションの弱点を突き、ダークウェブで流出（または窃取）したデータで検証をすり抜けます。さらに、Mão Fantasma（幽霊の手）も見過ごせません。これは被害者にリモートアクセス用アプリのインストールを誘導し、気づかれずに端末を支配して不正送金を行う手口です。銀行やFEBRABANは、電話の指示でアプリを入れたり第三者にリモートアクセスを与えたりしないよう勧告しています。

SIMスワップとは？ なぜブラジルで増えているのか

SIMスワップは、ブラジルの通信業界における最大級の脅威の一つです。犯罪者が通信事業者をだまして被害者番号で新しいSIMを発行させる――ソーシャルエンジニアリングとダークウェブ流出データの合わせ技で成立します。

番号を掌握した攻撃者は、正規ユーザーに届くSMS OTP（ログインやアカウント復旧用）を奪い、アカウント乗っ取り（Account Takeover）を引き起こします。

SIMスワップは業界が報告する高い成功率とともに拡大しており、詐欺対策・セキュリティチームの最優先課題であり続けています。

なぜ通信の現場で「従来型の本人確認」は通用しないのか

ブラジルは世界でも有数に過激なサイバー犯罪環境です。2秒に1回、本人なりすましの試行が起き、企業はしばしば検知・阻止・抑止に失敗します。

SIMスワップ件数の正確な公式統計はありませんが、毎年数万人規模が影響を受けていると推定されます。

要因はツールとプロセスの脆弱性です。ブラジルで広く使われるソリューションは、静的照合、人手審査、硬直したプロセスに依存して不十分であることが露呈。ツールだけでなくアプローチ自体も課題です。

データ流出とオペレーターの脆弱性

ダークウェブでの大規模な個人情報流出により、静的データ（CPF、誕生日など）だけでは初期の基礎的な関門を突破されます。情報が既にパブリック化した環境では、「知っていること」に基づく検証は本人性の担保になりません。

加えて、多くの社内プロセスは依然として人手の確認に過度依存（店舗やコールセンター）し、リアルタイムのリスクシグナル解析から遠いのが現状です。

その結果、生態系はこうなります：

• 正規顧客だけが摩擦を負い、攻撃者は止められないことがある。
• 犯罪者は流出情報を使ってSIM再発行、アカウント復旧、強制的な番号移行を実施。
• 意思決定は弱い証拠（静的データ）に基づき、強い証拠（ライブネス付の顔認証、回線シグナル、端末レピュテーション）が不足。

流出と番号ポータビリティ：見落とされがちな盲点

事業者間の番号ポータビリティ（MNP）とSIMの再発行/複製が、運用上の最大リスク領域です。ここを突破されると攻撃者は番号を完全支配し、その後ろに連なるあらゆる認証も掌握します。

対策として事業者は高い保証レベルの標準を採用すべきです。

• 申請時点での強力な本人確認（身分証＋セルフィー＋ライブネス検知）――アプリ/ウェブ、コールセンター、店舗の全チャネルで。
• 認証チャネル選択の前に番号/回線シグナルを参照（回線種別、SIM使用期間、直近のスワップ兆候など）。
• 代替チャネル（プッシュ通知や検証済みメール）での追加確認と、センシティブ変更に対する実行猶予（冷却）期間の設定。

ブラジルの規制は何と言っているか（実務サマリー）

Anatel（ブラジル国家電気通信庁）は、携帯番号ポータビリティの確認をSMSで行うことを義務付けています。通知はユーザーの現在の回線に送られ、契約者は最長6時間以内に回答が必要。未回答または「No」の回答なら自動キャンセル。これは高リスク環境での強い認証の代替にはならないものの、すべての通信事業者が守るべき規制の最低ラインです。

同庁はまた、電気通信サービス一般規則（RGST）を承認し、業界ルールを統合・更新しました。

さらに消費者権利一般規則（RGC）は2025年9月に改定・統合され、ユーザー対応における透明性・品質・可逆性の義務を強化。これは、MNP、SIM再発行、データ変更の告知・実行方法や、紛争時のトレーサビリティに影響します。

2025年のブラジル通信事業者向けKYC戦略

適切なツールとプロセスにより、通信事業者は本人なりすましを大幅に低減できます。

• オンボーディング時のリアルタイムKYC。 書類検証、1:1の顔照合、ライブネス検知で、合成IDやなりすまし開通を阻止。
• SIM再発行やMNPに顔認証とMFAを組み込み。 重要プロセスに生体MFAを組み込むことで、ソーシャルエンジニアリングへの耐性を強化。
• リスクシグナルに基づくオーケストレーション。 SMS OTP送信前に、回線種別、SIMの“年齢”、直近のスワップ兆候などを評価。高リスクなら生体認証やプッシュ/検証済みメールへ代替ルーティング、低リスクならスムーズに継続。
• AIと行動分析。 時刻・位置・要求のリズムをもとに異常を検知し、前倒しでブロック。

Diditは通信事業者の本人なりすましをどう減らすか

ブラジルは例外的に高い不正ボリュームに直面しており、オペレーターの最優先はSIMスワップ、悪意あるMNP、センシティブなデータ変更による損失の削減です。Diditはその目的に特化して設計された本人確認プラットフォームです。

運用上の成果は？

• 人手監督への依存を削減。 Diditは大規模環境での人手審査依存を下げ、検知を強化。監督性と監査トレースも確保。
• グローバルな不正ナレッジ。 世界中の数千件のパターンを土台に、兆候を識別して適切に対応。
• 政府ソースとの接続。 必要な反不正チェックのため公的データベースと統合。
• エンドツーエンドの自動化。 人手審査のボトルネックを回避し、オンボーディング/サービシングを高速化しつつ統制を維持。
• 柔軟でカスタマイズ可能なワークフロー。 チケット不要でルール変更、リスク時に追加ステップを自動挿入。
• 透明性と統合容易性。 APIとノーコードモジュールで迅速にフローを起動、明確な料金体系。

Diditが一般的な市場の限界を超える理由

従来ベンダーが静的照合・人手審査・硬直プロセスに頼る中、Diditは自動化・オーケストレーション可能なレイヤーを提供。公的ソースと連携し、人手依存を下げ、検知を高めつつUXを制御。完全な本人確認とグローバルな不正パターン基盤を組み合わせ、新規開通、MNP、SIM再発行をリアルタイムで判断します。