楽天モバイルは、フィッシングサイトなどを通じて不正に入手した楽天IDとパスワードを入手した第三者によって、SIMカードをeSIMとして再発行し、SIMカードを乗っ取り(SIMスワップ)する事案が発生しているとして、注意喚起を行っている。
不正なウェブサイト(フィッシングサイト)等を通じて、お客様の楽天IDおよびパスワードを入手した第三者が、お客様がご利用中のSIMをeSIMとして再発行し、モバイル通信サービスを不正に利用するという事案が発生しております。
楽天モバイルでは、複数のWebサイトやサービスでパスワードの使い回しを行わないことや、ログイン通知機能を利用し、ログイン履歴を定期的に確認することのほかに、楽天IDの設定で「メールアドレス以外をユーザIDとして使用する」設定を推奨している。
楽天IDのアカウント・セキュリティに関する変更は以下にて。
アカウントとセキュリティ – 楽天会員情報の管理
■メールアドレスをユーザーIDとして使う設定
※楽天モバイルでは、これをオフにしてメールアドレス以外の情報をログインに使うことを推奨している
身に覚えの無いeSIM再発行が既に行われている場合は、楽天モバイルの回線利用停止を行ったあと、楽天ID・パスワード変更→楽天モバイル回線の利用再開→eSIM再発行→eSIMプロファイルダウンロードを行うように案内している。
また、回線乗っ取り(SIMスワップ)の被害を防ぐため、eSIM再発行を申し込みすると楽天モバイルから連絡を行ったり、申込が保留になったりすることがあるとのこと。
なお、楽天モバイルのeSIM再発行時には楽天IDに紐付くメールアドレス宛に二段階認証のための確認用コードが送信される仕様のため、第三者がeSIMを再発行するには、楽天IDとパスワードに加えてメールアドレスへのアクセスも必要となる。
※Twitter(現X)の報告によると、遅くとも2023年4月にはeSIM再発行時のメールアドレス入力が求められる仕様になったとのこと。
楽天モバイルのeSIM再発行による乗っ取りの例のほか、最近では第三者による番号移行(同一事業者内の契約ブランド変更)が行われ、回線が乗っ取りされる事例が報告されている。
