迷惑電話規制が思わぬ盲点に、仮想通貨保有者にSIMスワップ危機

米連邦通信委員会（FCC）が5月26日に公表した迷惑電話（ロボコール）規制案は、通話サービスの発信側事業者がサービス提供前に顧客の氏名、住所、政府発行の身分証明番号、別の電話番号、関連する確認記録を収集・保持すべきかを問うています。

FCCは、違法な迷惑電話が米国人に年間数十億ドルの詐欺被害と時間の浪費をもたらしているという問題を中心に据えています。しかし仮想通貨の保有者にとっては、この枠組みが扱っていない二次的なセキュリティ上の帰結が浮かび上がります。電話番号はすでに、取引所の口座開設、メールや仮想通貨アカウントの復旧、SMSによる二要素認証などの中心に位置しているためです。

通信事業者が電話アカウントにより多くの本人確認データを束ねるほど、そのアカウントは攻撃者にとって価値を増し、事業者の情報漏えいやなりすましの成功が即時かつ不可逆に動く資産を持つ人にとってより深刻なものになります。米司法省が2025年9月に行った500万ドル超のビットコインに関する民事没収では、SIMスワップ攻撃が口座乗っ取りの手法として説明されています。

2024年1月には、SECのXアカウントに紐づく電話番号がSIMスワップとみられる手口で乗っ取られ、現物ビットコインETFの承認を装った虚偽の発表が投稿される事件も起きました。事業者側で本人確認記録が拡充されれば、同様の攻撃を高価値の標的に対して試みる者にとって、より豊富ななりすまし材料が生まれることになります。

ビットコインのセキュリティ研究者ジェームソン・ロップ氏は、KYCを伴わない電話サービスが、多額のビットコインを保有するとみられる人にとっての防御策になりうると論じています。

規制案は、KYC要件が大口の商用発信事業者のみに適用されるのか、新規・更新の個人顧客やプリペイドSIMにも及ぶのかを明確にしていません。広範な規制となれば電話番号と住所、身分証明番号、4年分の利用履歴が束ねられ、SIMスワップや恐喝、物理的な標的化にとってより大きな「蜜つぼ」となる恐れがあります。一方、商用発信事業者のみに限定されれば、個人の仮想通貨保有者へのリスクは抑えられます。

仮想通貨保有者への影響は、最終的な規則の適用範囲次第になりそうです。