【コラム・特集】SMSで行う本人確認(電話番号認証)の欠陥

昨今、d口座などのバーチャル口座やコード決済(PayPayなど)において、金融機関の預金口座所有者に無断で紐付けされ、預金が不正に引き出されるというニュースが世間を騒がせています。
PayPayを始めとする金融・決済サービス(コード決済)を利用するに当たり、携帯電話番号と紐付けすることにより、SMSによる本人確認を行っていますが、d口座も急遽この仕様と取り入れることとなりました。

今回のコラムはスマ辞書ライターが「SMSによる本人確認(電話番号認証)の欠陥を指摘する」といった内容になります。

【SMSによる本人確認とは】

SMSによる本人確認(電話番号認証)とは何かという説明をしていきます。
まず、SMSは携帯電話番号に備わる機能であり、短いテキストメッセージを送受信することができます。

日本においては「090」、「080」ならびに「070」から始まる電話番号が一般利用者向けの携帯電話・データ通信機器として利用されており、これらの電話番号で音声通話が可能な契約する場合は「携帯電話不正利用防止法」に基づき、契約時は必ず公的機関から発行された本人確認資料を用いて本人確認が行われます。

SMSによる本人確認というのは、サービス提供事業者がSMSの受信が可能であることを確認することにより、サービス提供事業者が実際に利用のできる携帯電話番号を利用者情報と紐付けすることを目的としています。

よくある認証方法として、サービス提供事業者が認証コードを届け出電話番号宛にSMSにて送信して、その認証コードを登録者や利用者がWEB画面やアプリケーションへ入力する方式を取っています。

この仕組みが導入された目的として、「一人で複数のアカウントを所有しくくする」・「犯罪や不正行為が行われた場合、登録された携帯電話番号をもとに、サービス提供者が被害届を出すことで、証拠として提出された電話番号を元に、捜査機関が契約者照会を行い事件の早期解決に繋がる」ことを期待されているためです。

SMS配信大手　空電プッシュによるサービス概要の一部
出典：https://www.karaden.jp/karadenpush/api.html

【SMSの本人確認(電話番号認証)の欠陥】

さてここからが本題となりますが、SMSにおける本人確認の欠陥について検証していきます。
まず、SMSが利用できる携帯通信契約として次のケースが考えられます。
①音声通話が利用できる契約(現行法で対応済み)
②データ通信とSMS受信に対応した契約(現行法の抜け穴)

①「音声通話が利用できる契約」のケースの場合、携帯通信事業者は必ず公的機関から発行された本人確認資料を用いた本人確認を行うことにより、審査の上、契約を締結しています。

①の契約により不法行為が行われた際に考えられることは、契約者ではない者が何らかの方法で実際に音声通話が利用できるSIMカードを入手し、それを用いて不法行為を行ったと考えられます。

入手経路として、契約者が無届けの貸金業者に対して背負っている債権などと引き換えに契約を売った(譲渡した)場合や、犯罪集団により偽装した本人確認資料などを用いて携帯通信事業者と契約を結び、その契約を売却(譲渡)したケースが考えられます。

このケースはいわゆる「飛ばしケータイ」などと呼ばれており「携帯電話不正利用防止法」に違反する犯罪行為となるため、通信の秘匿が保障されたサイトや通信・連絡手段を用いて取引されます。

「携帯電話不正利用防止法」の概要
出典:総務省
URL: https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/050526_1.files/Page377.html

「飛ばしケータイ」は1契約あたり30000円以上することが通常であり、なかなかまとまった数を揃えることが難しいという背景があります。
また音声電話が利用できるのであれば、詐欺行為などに利用する方が良いと不法行為を行う者は考えるでしょう。

しかしながら、「飛ばしケータイ」は本人確認資料を用いた本人確認を行っているため、責任の所在を突き詰めることは容易です。
「契約を売却・譲渡した契約者」もしくは「偽装した本人確認資料を見抜けなかった携帯通信事業者」のどちらかです。

今回問題提起をするのは②「データ通信とSMS受信に対応した契約」のケースです。

②のケースは本人確認を行った上で契約を行う事業者と本人確認を行わずに契約を行う事業者が存在します。
「携帯電話不正利用防止法」の対象となのるは090,080や070の電話番号で音声通話を行うことができる契約に限られます。
データ通信とSMS受信に対応した契約の場合は、この法律の範囲から外れます。
【総務省に確認の上、裏付けができています。】

多くのMVNOでは事業者努力により本人確認を行っていますが、一部の事業者経由では本人確認を行わずに入手することが可能です。
すなわち法の抜け道でもあるのです。

また、1回線あたりの価格も安い場合があり、飛ばしケータイより安価で合法的に入手することができます。

本人確認を合法的に行わずに入手したSMS受信対応契約を用いて、コード決済や他サービスSMS本人確認を受けることができるため、責任の所在はおろか、だれがこのような行為を行ったかも不明瞭のまま捜査が難航する可能性があります。

【本人確認を行わずにSMS対応データ通信SIMを入手する方法】

さて、実用的な話となりますが、本人確認を行わずにSMSに対応したデータ通信SIMを入手する方法について、解説していきます。

入手先として身近な経路は「ヤフオク!」や「Amazon」です。
SMS対応を謳っている商品を購入します。

購入の際は通信秘匿化技術(VPNとTorブラウザ)を利用した上で、アカウント作成と購入の手続きを行います。
通信秘匿化技術を用いることで、通信の出どころの特定が容易ではなくなります。
また、商品代金の支払は「コンビニ支払い」とします。

なぜ「コンビニ支払い」とするのかの理由は次のとおりです。

・自身の銀行口座やクレジットカードアカウントと紐付けしなくて済みます。
・コンビニでの支払い時は覆面をすることで、直接的な特定は難しくなります。
・設置されている防犯カメラの映像記録も長くとも2ヶ月~3ヶ月程度であることが多いため、不法行為の発見が遅れれば映像としての記録が追われない。

また、商品受け取りの際は「便利屋」などを用いることで、身分を明かさずに商品を受け取ることが可能です。

※厳密に言えば私書箱設置行為に相当する可能性があり、「犯罪による収益の移転防止に関する法律」の規制対象となる可能性がありますが、身内に秘密で購入した商品を受け取りたいなどと言うことで、受けてくれる業者はすくなからず存在します。

更に、同じ手段で携帯電話機(白ロム)も一緒に購入すると、製造番号(IMEI)による購入経路追跡も回避できます。
こうして入手したSMS対応データ通信SIMは、利用者はおろか、ほとんど痕跡を残さずに入手することができます。
また、販売元も「携帯電話不正利用防止法」に違反した販売方法を行っていないため、「不正行為に使えます」などと謳って販売(犯罪幇助・教唆)しない限り、処罰を受けることはないと考えられます。

こうした方法で入手したSIMカードがあることにより、SMSによる本人確認(電話番号認証)は完璧ではなく、欠陥があると結論付けます。

【今後求められること】

SMSによる本人確認はコストも安く、従来は確実に携帯電話番号を紐付けられると考えられていましたが、現にこのような欠陥が存在します。
サービス提供事業者(特に金融・決済などの利用者の資産を保護する分野)はSMSによる本人確認はあくでも電話番号が有効であることを確認するだけにとどめ、「指定番号に発信させる」または「届け出のあった電話番号に音声通話により発信し、有効であるかを確かめる」などの認証方法を併用するべきだと考えます。

この方法により、先程挙げた「SMS対応データ通信SIM」は排除されることになるため、先程挙げた欠陥は埋めることができるのでないでしょうか。