第18回　SMS認証とその代行業

前回も話題にしたように、2000万円分のペイペイポイントを不正に現金化したとして、3人が逮捕されました。しかし、この2000万円分のペイペイ(paypay)ポイントはどのようにして手に入れたのでしょうか。不正な手段で盗み取ったのでしょうか。いえいえ、容疑者たちは正当とは言えないまでも、違法とは言い難い方法で手に入れているのです。paypayというスマホ決済サービスに登録した際には500円相当のポイントが付加されました。誰でも登録さえすれば500円相当のポイントが得られるのです。しかし登録するためにはスマートフォン（スマホ）が必要になります。厳密にはスマホでキャリア通信と呼ばれるサービスを受けるためのSIM（シム）と呼ばれるICカードが必要です。このSIMには契約者番号が記載されており、誰が所有者なのかがわかる仕組みとなっています。paypayはこのSIMで契約者を識別しているのです。このSIM毎に最初の登録の際に500円相当のポイントを付加していたのです。今回の容疑者はこのSIMを4万枚以上使って、すべてのSIMでpaypayに登録して、それぞれのSIMで500円相当、合算して、2,000万円相当以上のポイントを得ていたのです。

ここでいくつか疑問が出てきます。いったいどうやって4万枚ものSIMを手に入れたのでしょうか。そして4万件もの契約を人手で行ったのでしょうか。逮捕された3人が総がかりで1件の契約を1分で、そして不眠不休で行ったとしても、約10日間かかります。睡眠や休憩等を考えれば一か月以上かかるでしょう。

4万枚のSIMはSMS認証代行業で仕入れたものです。SMSとは文字を送るショートメッセージサービスの略です。SMS認証とは、電話番号を用いて、その電話番号の所有者であるか否かを確かめて、認証、すなわち本人確認をおこなうものです。具体的には、paypayに登録しようとすると、登録するスマホを紐付けするために、そのスマホの電話番号に向けてSMSを利用して、認証コードと呼ばれるアルファベット2文字と4桁の数字を表示します。SMSで送られた数字を登録画面に入力することで、電話番号とpaypayの登録が紐付けされるのです。SMS認証代行とは、paypayに限らず、電話番号を用いることなく、認証を行うことです。電話番号がないタブレットや、１台のスマホで一つのサービスに対して複数のアカウントが必要な場合に有効です。ヤフオクやメルカリで複数のアカウントを持ちたい場合にも利用できます。代行の方法は単純で、代行業者と契約すれば、サービスに登録する際に、あらかじめ伝えられた電話番号で登録すれば、そのSMSでの認証コードが代行業者を通して、メール等で登録者に伝える方式です。ただ、現在では通信料や通信速度を制限した月額数百円のSIMが売られ、さらにそれに月額数百円上乗せすれば、電話番号が得られ、SMSが利用できるので、代行の必要性はそれほど高くはありません。ただし、何らかの理由で登録者の正体を隠したい場合はその限りではありません。

4万枚のSIMを仕入れることも難しくはないのです。会社組織を装えば、数千枚のSIMを購入することは不自然ではありません。また価格も電話番号を付加したSIMでも大量購入であれば月額数百円でしょう。それも一か月契約すれば十分です。その間に可能な限り複数のサービスに対して代行すれば良いのですから。1件当たりの認証代行サービスが1,000円としても、それを数件のサービスで利用すれば、1台のスマホ当たり数千円以上の儲けになります。それを4万枚のSIMで行えば、1億円近くの儲けになるのです。4万枚は一度に購入したわけではなく、おそらく1年あるいはそれ以上で扱った枚数でしょうから、年間数千万円の稼ぎになっていたことでしょう。

次に4万件の登録方法です。中長期、すなわち少なくとも数か月から半年以上にわたってSIMの仕入れや、その仕入れに伴って、登録を行っていたのであれば人手で入力したことも考えられるでしょう。しかし様々な方面の取材から、大量のSIMのほかにも、モデムプールと呼ばれる機器が押収されています。モデムプールとは、同時にパソコンで複数のSIMを操作、制御できる機械です。この機械を複数台そろえることによって、一度に数十台、数百台のSIMを操作することができるのです。またこの容疑者らはツイッターに、プログラマーの募集も行っています。これらのことから、プログラムを独自に開発することによって、自動的に効率よく、登録作業等を行ったのでしょう。