携帯電話のSMSを使った認証を、なりすましで不正に突破される例が問題視されている。手口としてはスマートフォンやケータイを物理的に盗んだり、他人がなりすまして不正にMNPする例が従来は見られたが、最近ではeSIMの再発行という手法も出てきた。そこで主要4キャリアについてeSIMの再発行が簡単かどうか、あらためてeSIMは不安視すべきものかどうか調べた。
そもそも不正なeSIM再発行をされると何が起こるのか?
eSIM再発行とは、端末間で物理的なSIMカードを差し替えることに相当する行為だ。特にeSIMでは、物理SIMでは必要だった発送や受け取りが不要。たとえばネットで新規加入の手続きをすれば、SIMの到着を待つことなく、すぐに使うことができる。
手軽でスピーディーな反面、誰かが不正にeSIM再発行の手続きをして、別の端末でeSIMを受信してアクティベーションしてしまえば、どこかの誰かのスマートフォンに番号を移してしまうことが可能になる。
勝手に電話の発信をされて、膨大な料金が発生する恐れがあるのはもちろんだが、現在ではSMS認証を突破することで、さまざまサイトに不正にログインされることの方が問題だ。
ちなみに、楽天モバイルではeSIMを2回目以降に発行することをすべて「eSIM再発行」としているが、事業者によっては呼び方を変えている。ソフトバンクではプロファイルの誤削除などで同一機種にeSIMを設定するときだけ「eSIM再発行」としていて、機種を変える場合は「eSIM機種変更」と区別している。
楽天モバイルはメールによる認証が必要だが……
楽天IDと他のメールの両方を突破されると不正に再発行される
eSIM再発行が比較的簡単と言われる楽天モバイル。各種契約の手続きをする「my楽天モバイル」にアクセスする際のIDとパスワードは、楽天市場など楽天の各種サービスを利用する際のものと共通になっている。
もっとも楽天のIDとパスワードだけわかってもeSIM再発行はできない。あらかじめユーザーが登録したメールアドレス宛に届いたコード番号でも認証する必要がある。
もし、他人が不正にeSIM再発行を申請しようとすれば、楽天のID/パスワードを突破したうえで、あらかじめ登録してあるメールアドレス宛のメールを盗み見しなければならない。
楽天のID/パスワードとメールアドレスとで2段階になっているわけだが、楽天のIDは古くから多くの人が使っているため、平易なパスワードのままの人がいるかもしれない。また、ID自体についてもメールアドレスのままの人も多そうだ(IDはメールアドレスではない文字列に変更可能)。
楽天ではYahoo!などのようにポータルサイトのIDだけで利用できるメールサービスはなく、楽天モバイルのキャリアメールについてもRakuten Linkアプリとログイン時にSMS認証が必要なため楽天のIDだけでは突破できない。そのため、楽天のIDとメール、両方の管理をしっかりやっておけば、基本は問題はないと言える。
しかし、パスワードを他サービスと使い回ししていると危険だ。特にメールサービスと共通の場合は、楽天モバイルのeSIMの再発行手続きができてしまう恐れがある。
また、楽天モバイルのメール認証の画面に、メールアドレス全部を表示しているのも気になった。楽天のIDを突破しているのだからアカウント管理画面などからメールの送付先がわかってしまうのは仕方がないものの、表示させる頻度は減らすよう改善してほしいところだ。
なお、my楽天モバイル」は一定時間アクセスがないと自動ログアウトする仕組みになっている。ウェブブラウザにパスワードを保存しなければ、ログインしっぱなしで不正利用されるということになりにくいようにはなっている。
もう1点。自分はeSIMを使ってないからと安心しないでほしい。楽天モバイルではウェブ上で物理SIMからeSIMへの変更ができ、eSIM再発行と手続きは同じ。楽天モバイル利用者は物理SIMのユーザーでもパスワード管理に十分に注意してほしい。
povo2.0はSMS認証がないが、eKYCで個人確認が必要
つづいてiPhoneのサブ回線などで、eSIMで使っている人も多いであろうpovo2.0。eSIM再発行時はSMSでの認証がない代わりに、毎回eKYCによる本人確認が必要となる。そしてシステム側で本人確認が完了するまではeSIMの再発行はできない(すぐには新しい端末で使い始められない)。
povo2.0の手続きは基本すべてスマートフォン用アプリで行なう。そしてアプリでログインする際は、パスワードではなく、登録したメールアドレスに認証コードが送られ、それを入力するタイプだ。
ところがpovo2.0はここからが厳重だ。eKYCによる本人確認が必ず求められ、スマートフォンのカメラで身分証明書(運転免許証やマイナンバーカードなど)の複数回の撮影や本人の撮影がある。その撮影も指定どおりに首を動かすことを求められ、突破は相応に難しくなる。また、本人確認の結果が出るまでに少々時間がかかる。
ただ、iPhone端末間でのeSIMの移動の場合は、ネット経由で簡単にeSIMを移せる「クイック転送」に対応している。その場合はeKYCによる確認は不要だが、新旧の端末を2台並べて作業する必要がある。
週刊アスキーの最新情報を購読しよう
本記事はアフィリエイトプログラムによる収益を得ている場合があります