主要4キャリアのeSIM不正再発行対策、悪用を防ぐためにどうするべきか

携帯電話のSMSを使った認証を、なりすましで不正に突破される例が問題視されている。手口としてはスマートフォンやケータイを物理的に盗んだり、他人がなりすまして不正にMNPする例が従来は見られたが、最近ではeSIMの再発行という手法も出てきた。そこで主要4キャリアについてeSIMの再発行が簡単かどうか、あらためてeSIMは不安視すべきものかどうか調べた。

そもそも不正なeSIM再発行をされると何が起こるのか？

eSIM再発行とは、端末間で物理的なSIMカードを差し替えることに相当する行為だ。特にeSIMでは、物理SIMでは必要だった発送や受け取りが不要。たとえばネットで新規加入の手続きをすれば、SIMの到着を待つことなく、すぐに使うことができる。

手軽でスピーディーな反面、誰かが不正にeSIM再発行の手続きをして、別の端末でeSIMを受信してアクティベーションしてしまえば、どこかの誰かのスマートフォンに番号を移してしまうことが可能になる。

勝手に電話の発信をされて、膨大な料金が発生する恐れがあるのはもちろんだが、現在ではSMS認証を突破することで、さまざまサイトに不正にログインされることの方が問題だ。

ちなみに、楽天モバイルではeSIMを2回目以降に発行することをすべて「eSIM再発行」としているが、事業者によっては呼び方を変えている。ソフトバンクではプロファイルの誤削除などで同一機種にeSIMを設定するときだけ「eSIM再発行」としていて、機種を変える場合は「eSIM機種変更」と区別している。

楽天モバイルはメールによる認証が必要だが……
楽天IDと他のメールの両方を突破されると不正に再発行される

eSIM再発行が比較的簡単と言われる楽天モバイル。各種契約の手続きをする「my楽天モバイル」にアクセスする際のIDとパスワードは、楽天市場など楽天の各種サービスを利用する際のものと共通になっている。

もっとも楽天のIDとパスワードだけわかってもeSIM再発行はできない。あらかじめユーザーが登録したメールアドレス宛に届いたコード番号でも認証する必要がある。

もし、他人が不正にeSIM再発行を申請しようとすれば、楽天のID／パスワードを突破したうえで、あらかじめ登録してあるメールアドレス宛のメールを盗み見しなければならない。

楽天のID／パスワードとメールアドレスとで2段階になっているわけだが、楽天のIDは古くから多くの人が使っているため、平易なパスワードのままの人がいるかもしれない。また、ID自体についてもメールアドレスのままの人も多そうだ（IDはメールアドレスではない文字列に変更可能）。

楽天ではYahoo!などのようにポータルサイトのIDだけで利用できるメールサービスはなく、楽天モバイルのキャリアメールについてもRakuten Linkアプリとログイン時にSMS認証が必要なため楽天のIDだけでは突破できない。そのため、楽天のIDとメール、両方の管理をしっかりやっておけば、基本は問題はないと言える。

しかし、パスワードを他サービスと使い回ししていると危険だ。特にメールサービスと共通の場合は、楽天モバイルのeSIMの再発行手続きができてしまう恐れがある。

また、楽天モバイルのメール認証の画面に、メールアドレス全部を表示しているのも気になった。楽天のIDを突破しているのだからアカウント管理画面などからメールの送付先がわかってしまうのは仕方がないものの、表示させる頻度は減らすよう改善してほしいところだ。

なお、my楽天モバイル」は一定時間アクセスがないと自動ログアウトする仕組みになっている。ウェブブラウザにパスワードを保存しなければ、ログインしっぱなしで不正利用されるということになりにくいようにはなっている。

もう1点。自分はeSIMを使ってないからと安心しないでほしい。楽天モバイルではウェブ上で物理SIMからeSIMへの変更ができ、eSIM再発行と手続きは同じ。楽天モバイル利用者は物理SIMのユーザーでもパスワード管理に十分に注意してほしい。

povo2.0はSMS認証がないが、eKYCで個人確認が必要

つづいてiPhoneのサブ回線などで、eSIMで使っている人も多いであろうpovo2.0。eSIM再発行時はSMSでの認証がない代わりに、毎回eKYCによる本人確認が必要となる。そしてシステム側で本人確認が完了するまではeSIMの再発行はできない（すぐには新しい端末で使い始められない）。

povo2.0の手続きは基本すべてスマートフォン用アプリで行なう。そしてアプリでログインする際は、パスワードではなく、登録したメールアドレスに認証コードが送られ、それを入力するタイプだ。

ところがpovo2.0はここからが厳重だ。eKYCによる本人確認が必ず求められ、スマートフォンのカメラで身分証明書（運転免許証やマイナンバーカードなど）の複数回の撮影や本人の撮影がある。その撮影も指定どおりに首を動かすことを求められ、突破は相応に難しくなる。また、本人確認の結果が出るまでに少々時間がかかる。

ただ、iPhone端末間でのeSIMの移動の場合は、ネット経由で簡単にeSIMを移せる「クイック転送」に対応している。その場合はeKYCによる確認は不要だが、新旧の端末を2台並べて作業する必要がある。

主要3キャリアのメインブランドは
通常はオンラインでの認証あり、受信不可ならキャリアショップへ

ドコモ／au／ソフトバンクのメインブランドの場合は基本的にオンライン手続きの途中でSMS認証が必要となったり、認証が厳しい各社のオンライン窓口（my docomoなど）にログインしたりする必要もある。auはさらにeKYCでの本人確認も求められる。

現時点でeSIMが入っている端末でSMSが受信できないと、ほかの端末に移行させることはできないので、元の機種が故障したり、紛失した場合は、オンラインでは手続きが不可能になる。

ソフトバンクは初期化などで同じ機種に再度eSIMを入れたい場合は、メールアドレスでの認証になる。ただし、その場合も元機種を使ってソフトバンク回線を用いてアクセスする必要があり、元の回線がないとオンラインでは先に進めない点はSMS認証と同じだ。

なお、UQ mobileはau、Y!mobileはソフトバンクに準じる。ahamoもdアカウントのログインが必要で認証は厳しい方に入る。

以上のことから、3大キャリアではSMS受信ができなくなった場合や元の回線が使えない場合、キャリアショップに身分証明書を持って駆け込むしかない。しかもほとんどのケースで手数料も必要だ。

今は予約しないとキャリアショップで手続きできない場合もあるため、eSIM再発行のハードルはさらに高くなる。その代わりに第三者による不正な再発行は考えにくく、（キャリアショップ側に緩みがない限り）安全だとは言えよう。

利便性か安心か、判断は難しい

楽天モバイルでは、メール認証さえすれば、いつでもeSIM再発行が可能で利便性が高い。しかも、eSIM再発行での手数料は現在のところ無料で24時間対応。その日の気分やTPOに合わせて端末を交換するといった運用が、eSIMでもしやすい数少ないキャリアと言える。

しかしながら、前述のとおり楽天のIDとパスワードに加え、認証先のメールも突破されてしまうと、第三者が不正にeSIM再発行をして、電話番号を乗っ取られる可能性がある。

では、SMS認証の方が厳しくていいかというと、利便性の点では大きく後退してしまう。特に故障や紛失で元の端末が使えなくなってしまった場合、キャリアショップに行くという面倒な状況が発生する。

結局は利便性か安全かの二択になる。利便性を求めるのであれば、ユーザー自身がパスワード管理を厳重にすべき。しかし、すべての人が厳重にしているとは限らないし、それでも不安という人や未知の攻撃に備えて、SMS認証をはじめとする認証方法を厳しくしているのではないだろうか。

物理SIMだって安心はできない、最後はユーザー次第

利便性のあるeSIMは不安で、認証が厳しいeSIMならeSIMのメリットがなくなる。だからといって物理SIMが安全かといえばそうとも言い切れない。

そもそもスマートフォンが盗まれてしまった場合、eSIMなら端末ロックが破られない限り、他人が使うことはできない。しかし、物理SIMなら、SIMだけ抜いてしまってほかの機種に差し替えれば使える。物理SIMは万が一のためにPINコードを有効にできるが、この機能を使っている人はほとんど見たことがない。

結局のところ、ユーザーがどれだけ注意しておくかということに尽きる。キャリア選びでも利便性をとるか、安心をとるか、しっかり判断する必要があるのではないだろうか。