シムスワップでハードウェアウォレットから盗まれますか？

いいえ。Tangemのようなセルフカストディ型ハードウェアウォレットに暗号資産を保管している場合、シムスワップで盗まれることはありません。この攻撃が機能するのは、ショートメッセージベースの認証で守られたアカウントに対してです。セルフカストディでは、秘密鍵は物理カード上のハードウェアチップ内にあります。再設定できる電話番号保護のアカウントも、悪用できるメール復旧経路もありません。電話番号をシムスワップされた攻撃者が得られるものは、ウォレットに到達できる情報ではありません。

認証アプリはどれを選ぶべきですか？

主要な認証アプリはいずれも、仮想通貨関連アカウントにショートメッセージ認証を使うより大幅に安全です。社内ガイダンスでも、ショートメッセージはシムスワップの対象になり得るため、ショートメッセージではなく認証アプリを使う例が示されています。実務上の違いは復旧方法です。取引所に$5,000を置いている場合、認証アプリへの切り替えはショートメッセージからの大きな改善になります。コードが電話番号へ送られないためです。端末内にコードを保持する方式はクラウド同期を避けやすい一方、クラウドバックアップ対応の方式はスマートフォンを失くしたときに便利な場合があります。ただし、バックアップ用アカウント自体を慎重に保護する必要があります。

取引所でショートメッセージ認証がまだ有効な場合はどうすればよいですか？

追加で資金を入れる前に変更してください。まず残高がもっとも大きい取引所アカウントから始め、残りも順に対応します。取引所が対応している場合はショートメッセージを認証アプリに置き換え、バックアップコードをオフラインで保存し、メールアカウントでもショートメッセージ復旧を使っていないことを確認します。短期売買用に取引所へ100ドル相当のステーブルコインだけ置いているなら、リスクはそのアカウント残高に限定されます。1 BTCや大きなETHポジションを置いている場合、影響はまったく違います。アカウントを保護したら、長期保有分はセルフカストディへ移してください。

Tangemへ資金を移すと取引所アカウントのリスクはなくなりますか？

移した資金については、取引所アカウントのリスクから切り離せます。ただし、カストディ型プラットフォームに残っている資金までは守れません。目的別に残高を分けると考えてください。取引所アカウントは、購入、売却、短期売買に使えます。Tangemウォレットは、サービスログイン、パスワード再設定、ショートメッセージ復旧経路にさらしたくない暗号資産を保管します。後で取引所アカウントが侵害されても、すでにカードへ移した資産には攻撃者が到達できません。

Tangemはシムスワップ攻撃に使われ得る個人データを収集しますか？

いいえ。Tangemは基本的なウォレット利用にアカウント登録を必要とせず、本人確認も不要です。Tangemは個人データを収集しません。氏名、住所、メールアドレス、電話番号はいずれも不要です。取引はTangemのサーバーを経由せず、公開ブロックチェーンノードへ直接接続します。侵害されるTangemアカウントも、攻撃者が足がかりにできる個人データのプロフィールもありません。これが重要なのは、シムスワップ攻撃が本人確認情報から始まることが多いためです。27万人分の顧客氏名、住所、メールアドレス、電話番号が流出すると、攻撃者に有用な材料を与えます。Tangemの基本的なウォレット利用では、そのようなTangemアカウントのプロフィールは作られません。

シムスワップ攻撃から仮想通貨を守る方法

この記事は次の言語でご利用いただけます：

Tangemチーム • 2026年6月15日

シムスワップ攻撃の仕組み
シムスワップ被害を疑うサイン
仮想通貨取引所アカウントを守る方法
ハードウェアウォレットがシムスワップに強い理由
シムスワップ対策チェックリスト
よくある質問

シムスワップは、携帯通信会社のサポート窓口への1本の連絡から始まることがあります。スマートフォンの通信が途切れたと気づく前に、メールや取引所アカウントが危険にさらされる場合があります。攻撃者にマルウェアは不要です。必要なのは、電話番号を攻撃者が管理する通信カードへ移すことです。

シムスワップから仮想通貨を守るには、ショートメッセージによる二要素認証を外し、認証アプリを使い、短期売買用の取引所残高と長期保有分を分けることが重要です。大きな金額の暗号資産は、セルフカストディ型ハードウェアウォレットで保管します。シムスワップは、仮想通貨の盗難で特に効果的な手口の一つです。多くの人が頼るショートメッセージによる二要素認証を回避できるためです。ショートメッセージはシムスワップの対象になります。そのため、仮想通貨関連アカウントや取引所アカウントでは、ショートメッセージではなく認証アプリを使うべきです。この記事では、攻撃の仕組み、発生中に気づくためのサイン、被害を防ぐために取るべき対策を具体的に解説します。

シムスワップ攻撃の仕組み

この攻撃は、多くの人が想像するより単純です。マルウェアも高度なハッキングも不要です。狙われるのは携帯通信会社のサポート手続きです。

**ステップ1：調査。**攻撃者はまず個人情報を集めます。電話番号、氏名、住所、メールアドレスなどです。こうした情報の一部はデータ侵害から入手されます。ある大手ハードウェアウォレット企業では、27万人超の顧客の氏名、住所、メールアドレス、電話番号が流出した事例が記録されています。その後、該当ユーザーを狙ったシムスワップ攻撃も発生しました。ほかの情報は、ソーシャルメディアやオンライン上の公開情報から集められます。

仮想通貨ユーザーにとって特に危険なのは、カストディ型取引所アカウントがショートメッセージベースのアクセスに依存している場合です。取引所ウォレットはオンラインのカストディ型ホットウォレットです。秘密鍵は取引所が管理し、利用者はサービスへのログインを通じて資金にアクセスします。

弱点はそのログインです。取引所やメールアカウントのパスワード再設定、または二要素認証にショートメッセージを使っていると、電話番号が復旧経路の一部になります。攻撃者がその番号を支配すると、本来届くはずの確認コードが攻撃者の端末に届く可能性があります。

実務上はこう考えると分かりやすいです。取引所に置いたBitcoin、ETH、米ドル連動ステーブルコインは、取引所アカウントによって守られています。そのアカウントをショートメッセージで再設定できるなら、ウォレット残高の安全性は携帯回線アカウントの強度に左右されます。シムスワップは、電話番号の問題を仮想通貨アカウントの問題に変えてしまいます。

シムスワップ被害を疑うサイン

もっとも分かりやすい警告サインは、端末変更、通信会社の変更、圏外エリアへの移動をしていないのに、スマートフォンの携帯通信が突然使えなくなることです。同じ電話番号をメール、取引所アカウント、パスワード復旧に使っている場合は、緊急事態として扱ってください。

アカウント側の兆候も同じくらい重要です。身に覚えのないパスワード再設定メール、覚えのない取引所ログイン通知、ログインしていないのに届く二要素認証の確認を確認してください。メール受信箱に大手取引所や別のカストディ型プラットフォームからセキュリティ通知が届いている場合は、安全を確認できるまでアカウントが攻撃を受けている前提で対応します。

完全な説明を待つ必要はありません。携帯通信が突然途切れ、同時に予期しないパスワード再設定メールやセキュリティ確認が届いた場合は、アカウント乗っ取りが進行中だと考えてください。特に取引所に大きな資金がある場合は急いで対応します。安全な接続から仮想通貨取引所アカウントを確認し、直近のログイン履歴と出金履歴を確認します。アカウント側で可能なら、ショートメッセージによる復旧を削除してください。取引所に大きな残高を置いている場合は、アカウントの支配を取り戻した後、長期保有分をセルフカストディへ移します。

このセクションでは、意図的にアカウント側の対策に絞っています。通信会社の復旧手続きは、事業者、国、アカウント設定によって異なります。仮想通貨側で取るべき行動は共通です。アクセス経路からショートメッセージを外して被害範囲を小さくし、重要な保有分をカストディ型ログインから遠ざけます。

仮想通貨取引所アカウントを守る方法

率直に言えば、多くの人がショートメッセージによる二要素認証を設定するのは、取引所が初期選択肢として提示しているからです。セキュリティ対策のように見えますが、特に大きな仮想通貨残高を保管するアカウントでは十分ではありません。

たとえば**$5,000**を取引所に置いているとします。ショートメッセージを認証アプリに置き換えれば、シムスワップされた攻撃者は確認コードを受け取れても、ログインコードは生成できません。

**すべての仮想通貨アカウントからショートメッセージによる二要素認証を外してください。**代わりに次のいずれかを使います。

**認証アプリ。**これらのアプリは、スマートフォン上で時間ベースのワンタイムコードを生成します。通信カードとは連動していません。シムスワップされた攻撃者は確認コードを受け取れますが、物理的にアクセスできない認証アプリのコードは生成できません。取引所アカウントや仮想通貨関連アカウントでは、ショートメッセージではなく認証アプリを使うべきです。

**ハードウェアセキュリティキー。**高額残高を扱う取引所アカウントでは、プラットフォームが対応している場合に利用します。物理キーによる保護に対応する取引所もあります。シムスワップされた攻撃者はショートメッセージを盗めても、ログイン、取引、出金に必要な物理キーをタップすることはできません。

電話番号の層も固めてください。スマートフォンのロック解除コードとは別の携帯通信会社アカウント用暗証番号を設定し、通信会社にポート保護、番号ロック、通信カードロック、またはポート凍結を依頼します。名称は事業者によって異なります。目的は単純です。番号移行や通信カード変更を遠隔で承認しにくくすることです。

仮想通貨取引所専用のメールアドレスを使います。買い物、ソーシャルメディア、ニュースレターには使わないでください。そのメールからショートメッセージ復旧を外し、認証アプリまたはハードウェアキーで保護し、バックアップコードはオフラインで保管します。強力なパスワード、端末の更新、リンクの慎重な確認、リカバリーフレーズの非公開管理も引き続き重要です。これらはホットウォレットのリスクを下げます。ただし、取引所の秘密鍵を誰が持っているかは変わりません。

そのため、取引所アカウントの防御には限界があります。売買や短期保有の残高は守りやすくなりますが、カストディ型プラットフォームがセルフカストディになるわけではありません。役割を分けましょう。近い将来の取引や支払いに必要な金額だけを取引所に置きます。長期保有分は、秘密鍵を自分で管理できるウォレットへ移します。

ハードウェアウォレットがシムスワップに強い理由

保管方法ごとの違いは次のとおりです。

資産の保管場所	シムスワップのリスク	理由
ショートメッセージ認証を使う取引所アカウント	重大	シムスワップによりショートメッセージ認証が直接回避されます。パスワード再設定後、アカウント残高が引き出されるおそれがあります。
認証アプリを使う取引所アカウント	低い	シムスワップでは認証アプリのコードを生成できません。
Tangemハードウェアウォレット（セルフカストディ）	なし	アクセスには物理カードの所持が必要です。アクセス経路に電話認証はありません。

Tangemが「なし」に分類されるのは、アクセスにカードが必要だからです。Tangemのコールドウォレットは、秘密鍵をSamsung S3D350Aセキュアエレメントチップ内に保管します。このチップはCommon Criteriaの**EAL6+**認証を受けています。秘密鍵は初期設定時にチップ上で生成され、どのような状況でもカードの外へ出ません。

取引に署名するには、物理カードをスマートフォンにタップします。それだけです。ショートメッセージのコードも、メールログインも、クラウドアカウントもありません。カードそのものが鍵です。

実際には、攻撃者が電話番号をシムスワップし、メールを乗っ取り、Tangemアプリをダウンロードして自分の端末で開いたとしても、ウォレットにはアクセスできません。物理カードが手元になければ、攻撃者は何もできません。取引所アカウントを空にする攻撃経路は、セルフカストディ型ハードウェアウォレットには存在しません。

ここがカストディ型保管とノンカストディアル保管の根本的な違いです。取引所に代表されるカストディ型ウォレットでは、秘密鍵はサービス側が管理し、利用者はアカウントログインを管理します。そのログインはショートメッセージで再設定される場合があります。ノンカストディアルなハードウェアウォレットでは、鍵を文字どおり自分の手元に置き、電話番号に依存する復旧経路を丸ごと取り除きます。

注意点もあります。Tangemのバックアップカードをすべて紛失し、シードフレーズもない場合、資金の復旧は不可能です。Tangemを含め、どの事業者も資金を復旧できません。これは真のセルフカストディに伴うトレードオフです。リモート攻撃を不可能にする同じ設計により、復旧用のバックドアも存在しません。Tangemは、カードを別々の場所に保管することを推奨しています。1枚は手元に、1枚は自宅に、1枚は信頼できる人のもとに置く、といった分散保管です。

Tangemは2018年以降、300万台超のデバイスを提供しており、成功したハッキングは報告されていません。ファームウェアはKudelskiとRiscureによる監査を受けています。アプリのソースコードはGitHubでオープンソースとして公開されています。セキュリティモデルは、主張を信じるだけでなく検証できます。

シムスワップ対策チェックリスト

上から順に進めてください。最初の項目群は、今すぐ取引所アカウントを守るための対策です。最後の項目は、もっとも重要な保有分をシムスワップ攻撃の対象範囲から完全に外すための対策です。

すべての仮想通貨取引所アカウントからショートメッセージによる二要素認証を外す
すべての取引所アカウントに認証アプリを追加する
高額残高を扱う取引所アカウントにハードウェアセキュリティキーを追加する
スマートフォンの暗証番号とは別の携帯通信会社アカウント用暗証番号を設定する
通信会社にポート保護、通信カードロック、番号ロック、またはポート凍結を依頼する
仮想通貨専用のメールアドレスを作成する
その専用メールからショートメッセージ復旧を外す
大きな仮想通貨保有分を取引所からTangemハードウェアウォレットへ移す

アカウント関連の対策は無料で、半日ほどあれば進められます。Tangemウォレットのセットアップ時間は1〜3分とされています。これらを組み合わせることで、取引所アカウントのリスクを下げ、長期保有分を電話番号に依存するアクセス経路から切り離せます。

よくある質問

いいえ。Tangemのようなセルフカストディ型ハードウェアウォレットに暗号資産を保管している場合、シムスワップで盗まれることはありません。この攻撃が機能するのは、ショートメッセージベースの認証で守られたアカウントに対してです。セルフカストディでは、秘密鍵は物理カード上のハードウェアチップ内にあります。再設定できる電話番号保護のアカウントも、悪用できるメール復旧経路もありません。電話番号をシムスワップされた攻撃者が得られるものは、ウォレットに到達できる情報ではありません。
主要な認証アプリはいずれも、仮想通貨関連アカウントにショートメッセージ認証を使うより大幅に安全です。社内ガイダンスでも、ショートメッセージはシムスワップの対象になり得るため、ショートメッセージではなく認証アプリを使う例が示されています。実務上の違いは復旧方法です。取引所に$5,000を置いている場合、認証アプリへの切り替えはショートメッセージからの大きな改善になります。コードが電話番号へ送られないためです。端末内にコードを保持する方式はクラウド同期を避けやすい一方、クラウドバックアップ対応の方式はスマートフォンを失くしたときに便利な場合があります。ただし、バックアップ用アカウント自体を慎重に保護する必要があります。
追加で資金を入れる前に変更してください。まず残高がもっとも大きい取引所アカウントから始め、残りも順に対応します。取引所が対応している場合はショートメッセージを認証アプリに置き換え、バックアップコードをオフラインで保存し、メールアカウントでもショートメッセージ復旧を使っていないことを確認します。短期売買用に取引所へ100ドル相当のステーブルコインだけ置いているなら、リスクはそのアカウント残高に限定されます。1 BTCや大きなETHポジションを置いている場合、影響はまったく違います。アカウントを保護したら、長期保有分はセルフカストディへ移してください。
移した資金については、取引所アカウントのリスクから切り離せます。ただし、カストディ型プラットフォームに残っている資金までは守れません。目的別に残高を分けると考えてください。取引所アカウントは、購入、売却、短期売買に使えます。Tangemウォレットは、サービスログイン、パスワード再設定、ショートメッセージ復旧経路にさらしたくない暗号資産を保管します。後で取引所アカウントが侵害されても、すでにカードへ移した資産には攻撃者が到達できません。
いいえ。Tangemは基本的なウォレット利用にアカウント登録を必要とせず、本人確認も不要です。Tangemは個人データを収集しません。氏名、住所、メールアドレス、電話番号はいずれも不要です。取引はTangemのサーバーを経由せず、公開ブロックチェーンノードへ直接接続します。侵害されるTangemアカウントも、攻撃者が足がかりにできる個人データのプロフィールもありません。これが重要なのは、シムスワップ攻撃が本人確認情報から始まることが多いためです。27万人分の顧客氏名、住所、メールアドレス、電話番号が流出すると、攻撃者に有用な材料を与えます。Tangemの基本的なウォレット利用では、そのようなTangemアカウントのプロフィールは作られません。