大手キャリアのeSIMで出そろい、電話番号を乗っ取る「SIMスワップ」がいよいよ対岸の火事では済まなくなってきました。SIMカードは、本人から直接盗む、店頭でなりすまし再発行、住所変更＋再発行、中の人に協力者など乗っ取りのハードルが高かったのですが、eSIMの運命は、各社の再発行手続き次第 https://t.co/YpSRE7Apvd

— Naomi Suzuki (@NaomiSuzuki_) 2021年9月2日

日本国内の携帯電話会社において機種変更や故障受付時の手続きフローがSIMスワッピングに対してどれくらい耐性がありそうかという話、大手キャリアだけでもいいからどこかで評価してないのかな。 たとえばdocomoだと、機種変更・SIM変更はオンラインショップならdアカウント設定アプリを使っていれば二要素認証で緩和可能*1、ドコモショップでの手続きはネットワーク暗証番号を推測 or リバースブルートフォースで窃取したとしても追加で氏名・生年月日の確認書類が必要、法人契約の場合は登記簿と印鑑証明が必要だからだいぶハードルが高い、とか。 www.docomo.ne.jp

ESETの記事みたいに電話番号とPINコード（docomoならネットワーク暗証番号番号）だけで突破可能なキャリアがあると、SMSでの二要素認証が国内でもヤバいとだいぶ言いやすくなるのだが…… eset-info.canon-its.jp