メインコンテンツへスキップ
Diditが750万ドルを調達、本人確認と不正対策のインフラを構築
Didit
ブログ一覧へ
ブログ2026年6月13日

SIMスワップ詐欺対策:電話認証によるアカウント乗っ取り阻止 (JA)

SIMスワップは、攻撃者にユーザーの電話番号と、それに続くすべてのSMSワンタイムパスコードを乗っ取らせてしまいます。電話認証、デバイスとIPシグナル、生体認証ステップアップを組み合わせることで、この攻撃をいかに阻止するかを学びましょう。.

By Didit更新日
sim-swap-fraud-prevention.png

SIMスワップ攻撃とは、詐欺師が携帯電話会社をだまして、被害者の電話番号を攻撃者が管理するSIMカードに転送させるアカウント乗っ取りの手法です。一度番号を奪われると、ログイン、パスワードリセット、取引承認のためにその番号に送信されるすべてのSMSワンタイムパスコード(OTP)は、正当なアカウント所有者ではなく、攻撃者の手に渡ってしまいます。

この攻撃は、ほとんどのユーザーや多くのプラットフォームが安全だと信じている認証レイヤーを突破するため、特に効果的です。SIMスワップがどのように機能するのか、なぜSMS OTPだけでは不十分なのか、そしてより強力な制御を重ねていく方法を理解することが、効果的なアカウント乗っ取り(ATO)防御の基礎となります。

重要なポイント

  • SIMスワップは、携帯電話会社のカスタマーサービスチームをソーシャルエンジニアリングによって欺き、被害者の電話番号を攻撃者が管理するSIMに転送します。
  • 攻撃者が番号を所有すると、被害者に代わってログイン、パスワードリセット、取引確認のためのSMS OTP(ワンタイムパスコード)を受信できるようになります。
  • SMS OTPだけでは、高価値アカウントの認証要素として十分ではありません。SIMスワップ、SS7傍受、OTPフィッシング攻撃に対して脆弱です。
  • 電話認証とデバイスおよびIPシグナルを組み合わせ、機密性の高い操作には生体認証ステップアップを要求することで、SMS OTPが残す攻撃経路を閉じることができます。
  • Diditは、IP分析(0.03ドル)、パッシブライブネス(0.10ドル)、生体認証(0.10ドル)と連携してステップアップスタックを構成する、マルチチャネル電話認証(SMS、WhatsApp、Telegram、RCS、音声)を提供します。

SIMスワップ攻撃の仕組み

攻撃のシーケンスは単純です。

  1. ターゲットの選択 — 攻撃者は、通常、データ漏洩記録やソーシャルメディア調査を通じて被害者を特定し、そのアカウントに関連付けられた電話番号を確認します。
  2. キャリアのなりすまし — 攻撃者は、被害者の携帯電話会社に電話をかけ、アカウント所有者になりすまします。漏洩データや公開情報から収集した個人識別情報(PII)を使用して、SIM転送を要求します。「携帯電話を紛失したので、このSIMで番号をアクティベートする必要があります。」
  3. 番号の転送 — キャリアは、詐欺師と正当な顧客を区別できず、転送を完了します。被害者の携帯電話はサービスを失い、攻撃者のSIMがすべての着信通話とSMSを受信します。
  4. アカウント乗っ取り — 攻撃者はターゲットプラットフォームでパスワードリセットをトリガーします。SMS OTPは攻撃者のデバイスに届きます。攻撃者は新しいパスワードを設定し、アカウントを制御します。

被害者は通常、携帯電話が予期せずサービスを失ったとき、または身に覚えのない操作のアラートを受け取ったときに初めて気づきます。多くの場合、被害はすでに発生した後です。

SMS OTPだけでは不十分な理由

SMS OTPは、電話番号が単一の人物に安全に紐付けられていることを前提とした第二要素として設計されました。SIMスワップは、プラットフォームの制御外であるキャリアレベルでその前提を破ります。しかし、脆弱性はそれだけではありません。

SS7プロトコルの脆弱性 — 世界中の電話トラフィックをルーティングするシグナリングシステム7(SS7)プロトコルには、SIMへの物理的なアクセスなしに、高度な攻撃者が伝送中のSMSメッセージを傍受できるという文書化された脆弱性があります。

OTPフィッシング — リアルタイムフィッシングキットは認証フローをプロキシし、攻撃者の偽サイトで被害者が入力したOTPを抽出し、OTPの有効期間内に実際のプラットフォームに対してそれを再生します。

SIMファーミング — 組織化された詐欺グループは、偽の身元で登録された大量のSIMカードを運用し、クレデンシャルスタッフィングによってすでに侵害したアカウントのOTPを受信するためにそれらを使用します。

このパターンは一貫しています。SMS OTPを最終的なセキュリティチェックとして扱うシステムはすべて、プラットフォーム自身のセキュリティ制御に触れることなく回避できる単一の脆弱性を持っています。

防御スタック:連携するレイヤー

効果的なSIMスワップ防御は単一の制御ではなく、各段階で攻撃を非経済的にするシグナルと検証ステップのスタックです。

レイヤー1:登録時の電話インテリジェンス

OTPを発行する前に、電話番号自体に関する情報を収集します。有用なシグナルには以下が含まれます。

  • 回線種別:これは携帯電話番号ですか、それともVoIP(Voice over IP)番号ですか?VoIP番号はキャリアの確認なしに即座にプロビジョニングでき、詐欺行為で一般的に使用されます。
  • キャリアと国:キャリアはユーザーが申告した国と一致していますか?ユーザーが申告していない国のキャリアに登録されている番号は、フラグを立てる価値があります。
  • 到達可能性:OTPは実際に配信できますか?マルチチャネル配信(SMS、WhatsApp、Telegram、RCS、または音声)は、到達可能性をテストすると同時に、ユーザーにオプションを提供します。

これらのシグナルは、単一のOTPを送信する前に利用できます。これにより、正当なユーザーのエクスペリエンスに影響を与えることなく、リスクの高い番号に対してより厳格な制御を適用できます。

レイヤー2:OTPと連携するデバイスおよびIPシグナル

IP分析(0.03ドル)は、電話インテリジェンスだけでは提供できないコンテキストを追加します。IPはデバイスの申告された場所と一致していますか?接続はVPN、プロキシ、Tor出口ノードから来ていますか?このIPは以前の詐欺行為に関連付けられていますか?

SIMスワップは通常、新しいデバイスセッションと同時に発生します。攻撃者は正当なユーザーが使用したことのない別のデバイスを持っています。セッションの一貫性(デバイスタイプ、ブラウザ/アプリのフィンガープリント、タイムゾーン、言語設定)を追跡するデバイスフィンガープリントは、OTPが完了する前であっても、機密性の高い操作中に高価値アカウントにアクセスする初めてのデバイスにフラグを立てることができます。

レイヤー3:機密性の高い操作のための生体認証ステップアップ

高リスクの状況(多額の引き出し、新しい支払い方法、アカウント復元、住所変更など)に対する最も強力な制御は、ユーザーが登録済みの生体認証と一致するライブネスチェックを実行することを要求する生体認証ステップアップです。

生体認証ステップアップは、SIMスワップ攻撃者が満たすことができないものです。彼らは電話番号を持っていますが、顔は持っていません。パッシブライブネス(0.10ドル)と生体認証(0.10ドル)は、最も大きな損害を引き起こす可能性のある時点でアカウント乗っ取りを阻止するチェックです。

原則は比例摩擦です。低リスクのセッションは通常通り進行し、高リスクの操作は、正当なユーザーにはほとんど気づかれないが攻撃者には通過できない、高速でモバイルネイティブな生体認証チェックをトリガーします。

Diditが役立つ方法

Diditの電話認証は、SMS、WhatsApp、Telegram、RCS、音声といった複数のチャネルでOTPを配信し、ユーザーがいる場所で対応し、単一チャネルのSMSでは実現できない柔軟な配信を提供します。マルチチャネル配信は、プロトコル全体での番号の到達可能性もテストします。WhatsAppメッセージを受信できずSMSのみ受信できる番号は、すべてのチャネルで到達可能な番号とは異なるリスクプロファイルを持っています。

電話認証と並行して、Diditの構成可能なワークフローでは、以下のレイヤーを追加できます。

  • IP分析(0.03ドル) — VPN/プロキシ/Tor検出、IPと国の整合性、詐欺リスクスコアリング。
  • パッシブライブネス(0.10ドル) — ユーザーが静止画ではなく、実在し、その場にいることを確認する2秒未満の生体認証ライブネスチェック。
  • 顔照合1:1(0.05ドル) — ライブキャプチャをオンボーディング時の登録ポートレートと比較します。
  • 生体認証(0.10ドル) — 機密性の高いアカウント操作のためにオンデマンドで生体認証照合を再生する、完全なステップアップ認証。

これらすべては、ビジネスコンソールで設定される単一のノーコードワークフローに結合されます。ステップアップのトリガー(どのリスクスコアまたはアクションタイプが生体認証にエスカレートするか)は、コード変更ではなくワークフロービルダーの設定です。

ユースケース

ネオバンクおよびEMIアカウントセキュリティ — 高額な引き出し要求や新しい受取人の追加は、金融アカウントにおける最もリスクの高い瞬間です。これらの時点での生体認証ステップアップは、SIMスワップが悪用する機会を閉鎖します。

仮想通貨取引所の口座復旧 — 口座復旧フローは、仮想通貨取引所のATOで最も悪用される経路です。口座復旧時に生体認証照合を要求することで、フローをSIMスワップ耐性にします。

iGamingアカウント管理 — 入金方法の変更と出金要求は、ペイアウトが迅速でしばしば元に戻せないため、ゲーミングATOで特にターゲットにされます。これらのタッチポイントでのステップアップ認証は、認可された市場では規制上の期待となっています。

支払い方法を保存している消費者向けマーケットプレイス — 買い手および売り手アカウントの支払い情報を保存するプラットフォームは、ユーザーが支払い銀行口座を変更する際にステップアップ認証が必要です。これはアカウント乗っ取りの一般的な目的です。

よくある質問

電話認証の費用はいくらですか?

Diditの電話認証の価格は変動制で、配信チャネルとボリュームによって異なります。IP分析は0.03ドル、パッシブライブネスは0.10ドル、生体認証は0.10ドルです。すべて、最低料金なしで月間500回の無料チェックが含まれています。

電話認証はすべてのSIMスワップ攻撃を防ぎますか?

電話認証だけでは防ぎません。SIMスワップをすでに完了した攻撃者はOTPを受信します。防御は、電話インテリジェンス、デバイスシグナル、生体認証ステップアップを重ねることで、OTP配信が最終的なチェックにならないようにすることから生まれます。

パッシブライブネスと生体認証の違いは何ですか?

パッシブライブネス(0.10ドル)は、オンボーディング時にユーザーが実在し、その場にいることを確認します。生体認証(0.10ドル)は、セッション途中のステップアップのために、登録済みのポートレートに対してライブネス一致の顔比較を実行します。これは、機密性の高いアクションポイントでATOを阻止するチェックです。

攻撃者は生体認証ステップアップを突破できますか?

生体認証ステップアップは、正当なユーザーのライブの顔を必要とします。SIMスワップ攻撃者は電話番号を持っていますが、顔は持っていません。200以上の詐欺シグナルとDiditのiBeta Level 1 PAD認証(IAPAR 0% / 360攻撃)を備えたパッシブライブネスは、ステップアップゲートでプレゼンテーション攻撃(写真、ビデオ、マスク)を検知するように設計されています。

これはセッション途中の再認証にも機能しますか?

はい。DiditのAWAITING_USERメカニズム(トランザクション監視エンジンから借用したもの)は、機密性の高いアクションを一時停止し、生体認証ステップアップをトリガーし、ユーザーがクリアすると自動的にアクションを再開できます。

始めませんか?

電話認証、IP分析、パッシブライブネス、生体認証はすべて、Diditの統合されたIDおよび詐欺プラットフォームの構成可能なモジュールです。追加の統合コードを記述することなく、ワークフロービルダーでこれらをまとめて設定できます。

本人確認と不正対策のインフラ。

KYC、KYB、取引監視、ウォレットスクリーニングを一つのAPIで。5分で統合できます。

無料で始めるお問い合わせ
AIにこのページの要約を依頼する
SIMスワップ詐欺対策:電話認証でATOを阻止 | Didit.