次世代SIMカード「eSIM」がハイジャックの新標的に、物理カード不要の利便性が生む脆弱性

背景

スマートフォンやタブレットに物理的なSIMカードを挿入せず、オンラインで通信キャリアの契約情報を書き込める「eSIM（embedded SIM）」が急速に普及しています。機種変更時の手間が大幅に削減され、海外渡航時も現地キャリアへの即座の切り替えが可能になるなど、利便性が高い一方で、その仕組みが新たなセキュリティリスクを生んでいます。従来のSIMスワップ攻撃は、攻撃者が携帯ショップで本人になりすまして物理SIMカードを再発行させる手口でしたが、eSIM時代には「オンライン手続きだけで」電話番号を乗っ取ることが可能になり、攻撃のハードルが劇的に下がっています。特に、SMS認証を多用している企業アカウントや金融サービスへのアクセスが、eSIMハイジャックを通じて危険に晒されています。

実態

eSIMハイジャックの典型的な手口は以下の通りです。攻撃者はまず、フィッシングやデータ漏洩から入手した個人情報（氏名、生年月日、住所、過去の電話番号など）を使い、携帯キャリアのオンライン窓口やカスタマーサポートに接触します。そして「端末を紛失したのでeSIMを再発行したい」と申請します。本人確認の質問（秘密の質問、過去の住所など）に対しては、事前に収集した情報で答えます。一部のキャリアでは、本人確認が緩いケースや、ソーシャルエンジニアリングでサポート担当者を騙せるケースがあり、eSIMプロファイルが攻撃者のデバイスに発行されてしまいます。その瞬間から、被害者の電話番号は攻撃者のスマートフォンで受信可能になり、被害者の端末は圏外になります。攻撃者は即座にSMS認証を使用する銀行アプリ、暗号資産取引所、クラウドサービスへのログインを試み、パスワードリセット機能を悪用してアカウントを次々と乗っ取ります。物理的なSIMカード再発行と異なり、eSIMは完全にオンラインで完結するため、攻撃者は自宅から世界中のどこからでも実行でき、痕跡も残りにくいのが特徴です。

影響と対策

eSIMハイジャックによる被害は、SMS認証に依存するあらゆるサービスへの不正アクセスに繋がり、金融資産の窃取、企業アカウントの乗っ取り、個人情報の大規模流出に発展します。対策としては、まず個人・企業ともに「SMS認証からの脱却」が最優先です。重要なアカウントについては、FIDO2ハードウェアキーや認証アプリ（Google Authenticator、Microsoft Authenticatorなど）を使用したTOTP（Time-based One-Time Password）への移行を進めます。また、携帯キャリアに対して「SIMロック」や「eSIM再発行時の厳格な本人確認」のオプションを申請し、オンラインでの簡易な再発行を防ぎます。企業としては、従業員に対してeSIMハイジャックのリスクを教育し、「突然圏外になった場合は即座にIT部門に報告」「SMS認証は避け、可能な限り認証アプリやハードウェアキーを使用」といったガイドラインを徹底します。FortiGateやCheck PointのZTNA（ゼロトラスト・ネットワークアクセス）機能を活用し、認証方式の強度に応じてアクセス権限を動的に制御することで、SMS認証のみの場合は制限付きアクセスとし、リスクを最小化することも有効です。

まとめ

eSIMは利便性の革命ですが、その利便性が攻撃者にも提供されている現実を直視する必要があります。SMS認証は「最も弱い多要素認証」であり、eSIM時代にはさらに脆弱性が増しています。重要資産を守るためには、より強固な認証方式への移行が不可欠です。PSIでは、FIDO2対応のハードウェアキー導入支援と、認証方式に応じたアクセス制御を実現するZTNAソリューションの設計・導入を通じて、eSIM時代にふさわしい認証セキュリティ体制の構築をご支援いたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp