電話番号は、アカウントアクセスの認証、配車アプリの利用、イベントチケットの取得、旅行の搭乗券の入手、そしてもちろん友人や家族、同僚とのコミュニケーションなど、日常生活の多くの活動に使用されている。しかし、電話番号が悪意ある者の手に渡ったらどうなるのだろうか?
ベライゾンの2024年の調査によると、電話番号は全データ侵害の39%で発見されており、これは入手可能な最新年のデータである。携帯電話事業者とそのサードパーティベンダーに対するデータ侵害も、関連アカウントとともに電話番号を流出させている。最近では、大手通信事業者チャーター・コミュニケーションズでのデータ侵害により、顧客の電話番号を含む4200万件の記録が盗まれた可能性がある。
多くの電話番号が流出しており、悪用される可能性にさらされている。「世界中のほぼすべての人の電話番号が、誰かのデータベースに入っている」と、SANSインスティテュートの労働力サイバーセキュリティトレーニング部門ディレクターであるランス・スピッツナー氏は述べている。
なぜあなたの電話番号は詐欺師にとって価値があるのか
ハッカーは、公開情報と非公開情報の両方、さらにはデータ侵害やデータブローカーを通じて、消費者の電話番号を幅広い情報源から入手できる。
「電話番号を入手するのは驚くほど簡単だ」と、サイバー・ガーディアン・コンサルティング・グループのCEOであるニック・マーティン氏は言う。「あなたの電話番号は、データブローカーのウェブサイトに数セントで掲載され、大規模な侵害で流出し、LinkedInプロフィールに投稿され、あなたが聞いたこともない何十もの人物検索サイトにインデックス化されている。犯罪者はそれを見つけるために何もハッキングする必要がない」
電話番号は、より広範な詐欺やサイバー窃盗への入り口となる。金融アカウントやソーシャルメディアアカウントにおける認証とアカウント復旧の主要な手段として機能している。
ハッカーはあなたの電話番号で何ができて、何ができないのか
誰かがあなたの電話番号を手に入れること自体はリスクではないが、財務記録などの他の個人識別情報と組み合わされると、問題になる。
電話番号だけでは通常、デバイスへのアクセスを開いたり、アカウントからロックアウトしたりするには不十分である。悪意のないが単に迷惑な事例としては、電話番号が営業やロボコールの連絡先データベースの主要なターゲットになることがある。しかし、悪意ある者の手に渡ると、リスクは高まる。
電話番号は悪意ある活動への入り口となり得る。「電話番号だけではデバイスへのアクセスは提供されないが、被害者を騙して認証情報を明かさせたり、マルウェアをインストールさせたりする詐欺に使用される可能性がある」と、AIコミュニケーションズ・コンサルティングのプレジデントであるラングリー・オールブリトン氏は述べている。「目的は通常、金融詐欺、個人情報窃盗、またはアカウント乗っ取りである」
ハッカーが被害者に電話をかけるだけではアクセスを得られないことに注意することが重要だ。「リスクはソーシャルエンジニアリングから来るもので、誰かにコード、パスワードを共有させたり、アクセスを承認させたりすることであり、電話自体からではない」と彼女は付け加えた。
1. スパムと誤った通知
最低限、電話番号はマーケティングやロボコールのデータベースに登録される可能性がある。その後、電話番号に送信されるコンテンツは、製品発表から個人向けのテキスト詐欺、さらには間違い番号を装ったものまで多岐にわたる。詐欺ウェブアドレスへのリンクを含むものもあれば、使用中の「生きた」番号を示す応答を求めているだけのものもある。
「『200ドルの請求を承認しましたか?Y/Nで返信してください』というテキストが届く」と、サビ・セキュリティのCEO兼創設者であるパトリック・コフリン氏は説明する。「あなたは『N』と返信する。数秒後、洗練された『詐欺対策部門』の担当者が電話をかけてきて、報告に感謝し、アカウントを保護すると言い、今送信している認証コードが必要だと言う。そのコードは実際には攻撃者がパスワードリセットをトリガーしているもので、あなたはそれを直接読み上げている。被害者が気づくのは遅すぎる、通常は本物のアカウント変更アラートが届き始めたときだ」
おそらく同じくらい悪質なのは、政府当局を装った電話やテキストである。典型的には、有料道路当局を装い、すぐに支払う必要がある未払い通行料について警告する。他のメッセージは、米国内国歳入庁、社会保障局、または地方裁判所からのものと主張する場合がある。注目すべきは、政府機関はテキストや電話で市民に連絡することは決してないということだ。すべての連絡は郵便局経由で書面で行われる。銀行からのものと主張する電話やテキストも、あなたの電話番号をターゲットにする可能性がある。
2. SIMスワッピング
SIMスワッピングは、電話番号ハッキングの最も問題があり、損害を与える形態である。攻撃者は被害者の電話番号を取得し、個人識別情報と組み合わせて携帯電話サービスプロバイダーに連絡する。正当な電話番号所有者であると通信事業者のカスタマーサービス担当者を納得させるのに十分な不正に収集された情報を持っている場合、アカウントは交換用SIMカードに転送される。
攻撃者は例えば、「電話やSIMカードを紛失し、番号を新しいものに転送する必要があるという話をでっち上げる」と、プルーブの副社長兼詐欺・サイバー犯罪エグゼクティブアドバイザーであるメアリー・アン・ミラー氏は述べている。攻撃者が被害者の番号の制御を獲得すると、詐欺師は「二要素認証に使用されるSMSワンタイムパスワードを傍受でき、銀行口座やその他の機密サービスへのアクセスを得ることができる」と彼女は警告した。
残念ながら、SIMスワップは被害者が電話を使おうとして、もはやサービスが受けられなくなるまで気づかない。その時点で、携帯電話プロバイダーに連絡し、すべての金融アカウントとソーシャルメディアアカウントのパスワードを確認して変更することが緊急である。
SIMスワップの防止には、警戒と技術の組み合わせが必要である。米国連邦通信委員会(FCC)は例えば、より高いセキュリティ上の利点のために、eSIMカードを推奨している。「eSIMカードは電話を盗まずに盗むことはできないが、取り外し可能なSIMカードは盗まれることがあり、ポートアウト詐欺に使用される」とFCCは助言している。
iPhoneでSIMまたはeSIMを持っているかどうかを確認するには、設定に移動し、一般までスクロールし、次に情報、次にスクロールダウンして物理SIMまたはeSIMが表示されているかどうかを確認する。Android携帯では、電話の側面にあるSIMスロットを確認するか、設定、次にネットワークとインターネットに移動してSIM設定のタイプを確認する。
3. 偽のSIMスワッピングアラート
SIMスワッピング自体と同じくらい悪質なのは、進行中の潜在的なSIMスワップについての偽のアラートであり、これはハッカーへの扉を開く可能性がある。
「被害者は、電話番号がスワップされる予定である、またはスワップされているという通知を、おそらく電子メールを通じて受け取る可能性がある」と、システル・テクノロジー・ソリューションズのシニアデジタルフォレンジックおよびインシデント対応コンサルタントであるカラム・ベアード氏は警告している。「また、これが起こっていることに気づいた場合は、リンクをたどるように指示する場合もある」
このような偽のアラートは、アカウントへのパスワードアクセスを得るためのフィッシングの試みである可能性がある。「このような通知を受け取った場合は、正しいと分かっている電話番号で通信事業者に直接連絡する必要がある」とベアード氏は述べた。
4. ポートアウト詐欺
SIMスワッピングと同様に、ポートアウト詐欺は、詐欺師が被害者の電話番号を他の個人識別情報と組み合わせて使用し、別の携帯電話事業者に切り替えることを含む。被害者の名前で新しいアカウントを作成すると、金融アカウントやソーシャルメディアアカウントへのアクセス認証情報をリセットできる。
もちろん、通信事業者はポートアウト詐欺を防ぐために、アカウントに関連付けられたPINやパスワードなどの管理と保護手段を設けている。しかし、それでも完全ではないと、FCCの警告は述べている。詐欺師は、潜在的な被害者の電話番号を公開情報と盗まれた情報の両方とリンクさせることで、通信事業者の保護手段を回避しようとする。このようなデータの組み合わせにより、電話会社の担当者に番号をポートアウトするよう説得できる可能性がある。
このような詐欺を回避するには、積極的に行動し、電話アカウントについて電話をかけるときに本人確認のためのPINまたはパスワードを設定することが必要だと、FCCは助言している。さらに、金融アカウントやその他のアカウントへの変更について、リアルタイム通知を通じて警戒する必要がある。
5. 加入者詐欺
加入者詐欺は、被害者の名前で完全に新しいアカウントと番号を設定することを含む。
「加入者詐欺が発生したことを発見するには時間がかかる可能性があり、債務を負担していないことを証明するにはさらに時間がかかる可能性がある」とFCCは述べている。
潜在的な加入者詐欺に対処するには、詐欺アカウントのサービスプロバイダーと地元の警察にも連絡する。さらに、3つの主要な信用報告機関のいずれかを通じて、信用プロファイルに注意を払う必要がある。
6. 携帯電話のクローニング
技術に精通した攻撃者は、携帯電話の送信の電波を監視し、不正な携帯電話上でアカウントの独自バージョンをクローニングすることもできる。
クローニングプロセスには、携帯電話の固有の電子シリアル番号(ESN)とモバイル識別番号(MIN)の複製が含まれる。ESNとMIN情報がクローン電話に送信されると、携帯電話事業者は「クローン化された携帯電話を正当なものと区別できない」とFCCは述べている。すべてのケースと同様に、アカウントに不審な請求が表示された場合、最初のステップは通信事業者に警告することである。
7. 電話番号のなりすまし
ハッカーや詐欺師はあなたの番号をなりすまして、連絡先(家族、友人、同僚)があなたの番号が表示され、あなたから電話を受けていると信じるようにすることができる。または、逆に、銀行や他の信頼できる情報源の番号をなりすますこともできる。
「番号のなりすましにより、悪意ある者は偽のまたは信頼できる発信者IDを表示できるため、詐欺電話があなたの銀行、政府機関、またはあなたが認識する名前として表示される」と、トゥルーコーラーのシニア業界スポークスパーソンであるクレイトン・リアブラーテン氏は述べている。
電話番号が侵害されたと思ったらどうすべきか
電話アカウントに何か問題がある兆候が見られた場合(不正な請求、アカウントのロックアウト、パフォーマンスの低下、要求していない認証コード、さらにはサービスの完全な遮断)、最初にすべきことは通信事業者に連絡することである。電話番号の潜在的な悪用について通知する。ほとんどの場合、通信事業者は是正措置を講じることができ、必ずしも電話番号を変更する必要はない。
「電子メールと金融アカウントが安全であることを確認し、パスワードを変更し、アカウント復旧設定を確認し、可能な場合はアプリベースの多要素認証を有効にする」など、追加の手順を実行する必要がある場合があると、オールブリトン氏は助言した。
ミラー氏は、IdentityTheft.govで公式報告書を提出し、銀行とクレジット発行会社に連絡し、主要な信用調査機関に無料の詐欺アラートを設定することを勧めている。SMSテキストメッセージからの二要素認証方法を使用している場合は、認証アプリまたはハードウェアセキュリティキーに切り替えるとミラー氏は言う。
今後、電話番号を保護する方法
電話番号は、他の個人識別情報と同様に保護する必要がある。これには、番号と関連する個人情報を共有する方法と場所を制限することが含まれる。可能な限り、すべてを公開ドメインから遠ざける。いつものように、電話サービス、金融アカウント、ソーシャルメディアアカウントでの活動について警戒する必要がある。
音声またはテキストによる未知の勧誘には決して応答しない。電話に応答したり、テキストに返信したりして、相手が個人情報を求めた場合は、提供しない。さらに、疑わしい番号をブロックする。
電話番号ハッキングは、ハッカーや詐欺師が消費者から金銭を詐取するために使用する手法の1つにすぎない。悪いニュースは、電話番号を入手するのは非常に簡単で、幅広い情報源を通じて入手可能であり、詐欺や詐欺への入り口となり得るということである。良いニュースは、注意深い監視と警戒を通じて、電話番号ハッキングは悪意ある者にとって行き止まりになる可能性があるということである。
