なぜ楽天モバイルが狙われた？eSIM乗っ取り、楽天IDと本人認証の盲点

　楽天モバイルの利用者において、SIMが悪意のある第三者に乗っ取られるという事象が相次いでいる。第三者がフィッシングサイトなどを通じて利用者のIDとパスワードを入手し、その人に成りすましてオンラインでeSIMを発行し、それを使い別の端末で不正送金などを行うといった事例が想定される。同様の事例は他キャリアでも起こり得るものなのか、そして、なぜ楽天モバイルが狙われたのか。専門家の見解を交えて追ってみたい。

　大手キャリアとしては業界4位の楽天モバイル。楽天グループ（G）は2020年に子会社の楽天モバイルを通じて携帯電話事業のサービスを開始。どれだけ使っても月額で最大2980円（楽天回線エリアのみ／通話料等別）、さらに月間データ利用量が1GB以下なら基本料無料というプランを掲げ、翌21年には500万回線を突破したものの、昨年には1GB以下の0円プランを終了した影響で契約数が減少。昨年8月に500万件を超えたものの、それまでの1年ほどは400万件台が続いていた。

　苦境が続くなか、昨年6月からは「Rakuten最強プラン」の提供を開始し、従来の料金体系を維持しつつ、auローミングの制限を撤廃。それまではデータ利用量については、KDDIのパートナー回線によるauローミングサービス利用時の高速通信は月間5GBに制限されており、制限を超えると通信速度が1Mbpsに制限されていたが、その制限を撤廃した。また、10月には楽天モバイルにとって念願だったプラチナバンドの割り当てが実現。12月にはMNOサービス（自社回線利用分）の契約数が600万件を突破したと発表した。

　さらに契約者増の起爆剤として2月に打ち出したのが「最強家族プログラム」だ。家族で「Rakuten最強プラン」に加入すると、1回線あたり月額110円（税込、以下同）の割引が適用されるというもの。今月8日には契約数が650万回線（MNO回線数）を突破したことを発表。楽天Gの三木谷浩史会長は契約数の目標値を1200万件としており、24年中に800万回線を達成するとの見方を示している。

被害に遭わないために

　スマートフォンの利用者は契約するキャリアから提供される、契約者情報などが保存されたSIMカードを端末に挿入し、通話やデータ通信などを利用する。端末を交換する際には古い端末から新しい端末にSIMカードを差し替えて利用するが、eSIMはスマホに内蔵された本体一体型のSIMで、物理的なカードがないため差し替えの手間が不要で、紛失や破損の心配がない。契約の申込みから本人確認（eKYC）、開通まで、また契約者情報の更新などもすべてオンラインで完結する点が特徴だ。

　ITジャーナリストの西田宗千佳氏はいう。

「詐欺の手口としてはフィッシングと同じで、悪意を持つ第三者が楽天モバイルユーザのメールアドレスとパスワードを盗み、勝手にそのユーザのeSIMを再発行してパスワードなどを変えた上で、成りすまして端末から通話やデータ通信、各種サービスを利用するというものです。

　加害者はeSIMの再発行について特別な行為をするわけでもなく通常の手続きを踏んで完了できてしまうので、被害に遭わないようにするためには、当たり前の話ですがフィッシング詐欺に引っかからないようにすることです。具体的には、

・詐欺メールっぽいメールを受信したら、本物であると確認できない以上はクリックしない。メール本文内に『情報を確認したいのでログインしてください』などと書かれているものは大抵詐欺なのでログインしない。メールアドレスやURLがその会社の正式なドメインであるかを確認する。

・PWは類推しやすいものは避ける。

・SMSや顔認証、指紋認証など二段階認証を設定できる場合は設定する。

といったことが重要です」

　加害者はeSIMを乗っ取ってどのような行為を行うのか。

「通話やSMS、ネット通信など、要は携帯電話でできることは何でもできてしまうので、乗っ取られた被害者本人に成りすまして電話番号を利用した認証を通過したり、SMSの二段階認証を通過したり、各種ネットサービスを利用できてしまいます。また、本人に成りすまして電話をすることも可能になってしまいます」

　被害にあったユーザはどうすればよいのか。

「第三者がeSIMを再発行して別の端末で利用すると、乗っ取られた人は自身の端末で通話やネット通信ができなくなるので、それを認識した時点で回線の利用を停止して楽天IDとパスワードを変更し、回線の利用再開手続きを行った上でeSIM再発行をするという流れになります。

　楽天モバイル側でもeSIMの再発行で不正行為が疑われる怪しい動きを検知した場合には、ユーザに本人確認したり再発行手続きを保留するといった対策を行っているようですが、今回の件を受けて発行手続きのプロセスを見直し、本人確認をより厳格にするかもしれません」

　NTTドコモ、ソフトバンク、KDDIなどもeSIMの仕組みを導入しているが、同様の事例は他のキャリアでも起こり得るものなのか。

「起こり得ますが、楽天グループが提供する各種サービスを利用するために楽天IDを持っている人の数が非常に多いため、IDとパスワードがいろんなところから漏れるリスクが高いという面はあるでしょう。また、eSIMの再発行の手続きが他キャリアと比べるとやや簡素である点も原因としてはあるかもしれません」

　大手キャリア関係者はいう。

「楽天モバイルは、eSIM関連に限らず各種手続きで踏むべきプロセスが他キャリアと比べると少ない。ユーザ側からすると操作が楽というメリットがある一方、脆弱でセキュリティ上問題があるとまではいえませんが、他社に比べるとやや甘い。そうした点も楽天モバイルが狙われた要因の一つにはあるでしょう」

対応方法

　事象発生を受け楽天モバイルは23日、注意喚起のリリースを発表。同じパスワードを使いまわさず利用サービスごとに異なるパスワードを設定することや、ログイン履歴の定期的なチェック、メールアドレス以外を楽天のユーザIDとして使用することなどを呼びかけている。

　楽天モバイルが案内している、すでに身に覚えのないeSIM再発行が行われている場合の対応は次の通り（同社公式サイトより）。

1.楽天モバイル回線のご利用停止
2.楽天ID・パスワードの変更（「アカウントとセキュリティ」より手続き）
3.楽天モバイル回線のご利用再開
4.eSIM再発行
5.eSIMプロファイルをダウンロード

（文＝Business Journal編集部、協力＝西田宗千佳／ITジャーナリスト）