見知らぬ誰かが自分のスマートフォンを勝手に解約していた。７月下旬、神戸市の会社経営の男性（６０）は何者かに携帯電話を乗っ取られた上、銀行の預金口座から現金１千万円を引き出された。携帯電話会社や銀行に問い合わせると、自分の運転免許証が勝手に偽造され、誰にも教えていないはずの暗証番号が解読されていた。男性は悲嘆に暮れる。「いったい何が起こったのか」（竜門和諒、井沢泰斗）

■アンテナが立っていない！？

　昼過ぎまで、携帯電話は普通に使えていた。午後３時４５分ごろだった。ポケットからスマホを取り出し、電話をかけようとした。だが、通話音がしない。画面を見ると、アンテナマークが１本も立っていなかった。

　契約しているＫＤＤＩ（ａｕ）は７月上旬に大規模な通信障害を起こしており、「またか」と思った。しかし、一緒にいた部下の携帯は同じａｕなのに通話ができていた。

　最寄りのａｕショップに行くと、店員は驚くべきことをさらりと言った。「本日午前中に解約されてますね」

　ＫＤＤＩの担当者が語った経緯はこうだ。

　京都府長岡京市のショップに男性の名をかたる男が来店し、契約解除を申し出た。男は、キャリア変更後も同じ番号を使える「番号ポータビリティー制度」の適用を求め、直後に別のキャリア会社で契約していた。

　「でも私は神戸にいます。本人確認はどうしたんですか」。男性が慌てて聞くと、担当者は「店舗では免許証で本人確認を行いました」。運転免許証は手元に確かにある。偽造されたものに違いなかった。

■すり抜けた本人確認

　男性の名をかたった男について、店舗担当者は当初「５０代くらいに見えた」と話した。一方、店の防犯カメラを見た警察官の印象は「４０代後半くらい」。いずれにしても、６０歳の男性とは年齢差があった。

　男性の憤りは収まらない。「免許証の生年月日と比べて若ければ、なぜ確認しない。何のための本人確認なのか」

　解約手続きをした店舗の担当者は神戸新聞の取材に「対応が終わっていないので、現時点で答えられることはない」と回答した。

　一般的な本人確認手続きとしては「免許証や健康保険証などで登録情報と一致するか確認する」と説明。契約時にも身分証を提示するが、店舗での本人確認のためだけに使用するため、コピーして店舗で保管することはなく、照合はできないのだという。

　別のキャリア会社に聞くと、顔写真付きの身分証に加え、生年月日、支払い方法、料金プラン、本体の型番－のいずれか１つで確認する。それでも「身分証が精巧に偽造されていれば、見破るのは難しい」という。「紛失や故障で確認できない場合もある」といい、契約した電話本体も提示する必要はないのだという。

■銀行からのメール

　だが、本当の悲劇はここからだった。

　携帯電話の乗っ取りが発覚した直後、男性の元に一通のメールが届いた。口座がある銀行からだった。「インターネットバンキングで出金がありました」

　「やられたと思いました。番号を盗むだけじゃないとは思っていたけれど」

　男性は、その日の夜に兵庫県警生田署に相談。男性の口座からは１日に引き出せる上限（１千万円）ギリギリの計９９８万円が、見知らぬ口座に振り込まれていた。

　通常、取引と違う高額出金があれば銀行から本人に電話連絡があるが、肝心の電話は犯人に乗っ取られていた。

　「銀行は電話をかけたらしいんです。出たかどうかは聞いていませんが、犯人が『大丈夫』と応じたんですかね」

■どこから情報が漏れたか

　兵庫県警サイバー犯罪対策課によると、「番号ポータビリティー制度」を使って、スマホが乗っ取られる被害は近年、数は多くないものの、確認され始めている。他人のアカウントなどを乗っ取る行為は、不正アクセス禁止法違反に当たるが、捜査関係者によると、その狙いは金融機関が設けたセキュリティーの隙を突くことにある。

　今回のケースでは、出金時に銀行が架電で本人確認をしている。スマホに確認コードを記載したショートメッセージサービス（ＳＭＳ）を送って、ログイン画面に打ち込ませて認証する方法も普及している。犯人はこれらのセキュリティーをすり抜けるためにスマホを乗っ取ったとみられる。

　犯人は男性の氏名と住所、生年月日が正しく記載された偽造免許証を持っていた。それだけでなく、銀行の口座番号と暗証番号も完全に把握していた。男性は「いったいどこで情報を盗まれたか、全く心当たりがない」と頭を抱える。

　捜査関係者の一人は「一つの可能性として『フィッシング』の手口が使われたかもしれない」との見立てを話す。

　フィッシングとはＳＭＳなどで偽サイトのＵＲＬを送りつけ、ＩＤやパスワード、口座番号などを書き込ませる手口だ。「アマゾン」や「メルカリ」など有名な実在企業をかたることも多いため、疑わずにアクセスしてしまう事例は少なくない。

　男性も「ひっかかった記憶はない」と強調する。一方で、携帯電話にはフィッシングとみられるメールが毎日大量に届いているという。

■免許偽造請負サイトも

　犯人は偽造の運転免許証も使ったとみられる。インターネット上には免許証や資格証明書の偽造を請け負う業者のサイトが多数ある。

　あるサイトは、証明書の偽造について「全く他人の身分を奪う」などと説明し、「本物と９９・９％一致」などとうたう。作成費用も運転免許証が５万５千円、５年パスポートは９万５千円などさまざまだ。

　「性別が同じ」「同じくらいの年齢」「氏名、生年月日、現住所、電話番号を入手できる」などの条件がそろうなりすまし相手を見つけてメールで作成を依頼し、データを確認して料金を振り込めば実物を郵送するとしている。

　ある県警の捜査員はサイトが海外で作られた可能性を指摘する。実際、文言には不自然な日本語が見られる。免許証の偽装、使用は有印公文書偽造違反の罪で、１年以上１０年以下の懲役が科せられ、重い罪だ。

■パスワードは連想できる

　被害に遭った男性が今、最も後悔しているのは暗証番号やパスワードに共通する英数字を使っていたことだ。「１つが漏れたら、連想で他にも通用したかもしれない」と悔やみ、事件後は口座などの暗証番号を変えたという。

　約１千万円の出金被害については男性の落ち度がないと判断され、銀行から全額補塡された。男性は「こんな事件があると知ってもらい、被害に遭う人が一人でも減ってほしい」と訴えた。

　一方、捜査関係者は「企業が対策をとっても研究されて新たな手口が生まれ、いたちごっこになっている。パスワードを使い回さないなど、やはり個人の対策が重要だ」と警鐘を鳴らす。