(2021年12月9日 初出)
電話番号を人に教えるとき、あなたはどれくらい立ち止まって考えますか。尋ねてくる相手によっては、電話番号を教えることであなたに関する膨大な情報への鍵を手渡すリスクとは思いもよらないのではないでしょうか。そう、電話番号犯罪者の手に渡れば悪用されるリスクのある情報です。
この記事でははじめに、携帯電話番号だけで検索してわかる、さまざまなタイプの個人情報を見ていきます。
携帯の電話番号を教えるリスク
電話とはそもそも個人的なデバイスです。電話を通して、人間関係から財布の中身、好き嫌いなどの情報に至るまで、その人の生活の豊かな側面が垣間見えます。その人の性格や悩みが透けて見えてしまうからこそ、モバイルデバイスはサイバー犯罪者にとってきわめて有用な標的でもあるのです。ソーシャル エンジニアリングが効果を発揮するかどうかは、人間の行動に影響をあたえる感情、動機、認知バイアスの複雑な関係を理解できるかにかかっています。つまり、サイバー犯罪者があなたのことを知れば知るほど、もっと簡単にあなたのことを操作し、悪意のあるファイルや機密情報のダウンロード、偽口座への送金へと仕向けることができるようになるのです。
図 1. 2023 年以降、スミッシング報告数は高い数値で遷移
携帯電話番号が悪用されやすい理由
SMSテキストメッセージ の S/N 比(信号雑音比)はきわめて高く、送付される内容に対する無価値な情報が少ないため、大半の人は受信して 3 分以内にテキスト メッセージを読んでいます。私たちは、モバイル メッセージに対して、メールやその他いろいろな方法で送られたコンピュータメッセージにおけるスパムやマルウェアに対するときのように、疑いの目を持って取り扱うことを教わっていません。そのため、モバイルで受信するメッセージのほうが、他のデバイスよりも速やかに心理的な隙を突くことができるのです。
モバイル オペレーティング システム プロバイダーはこの点を認識し、悪意のあるアプリケーションのインストール防止のため、さまざまな安全予防措置を講じてきました。ユーザーの中には、オペレーティング システムレベルの安全予防措置としての警告を無視したり、予防措置の設定をオフにするよう促す指示を鵜呑みにしてオフ設定にしてしまう人もいますが、それでもこれらの安全予防措置はアプリの違法行為の抑止に大いに役立っています。
しかし、アプリだけがリスクの要因ではありません。
携帯の電話番号でわかること・できること
電話番号は、日常的にかかわるさまざまな人間関係、ネットワーク、サービスをつなげる主要な中心点として、膨大な量の個人情報につながっています。従来のスピア フィッシング キャンペーンを組み立てる際に、サイバー犯罪者が頼りにするのがこの種の情報です。以前は、攻撃キャンペーンを組み立てる作業は、とても手間と時間がかかるものでした。
攻撃者は、あなたの電話番号と、一般的な人物検索エンジンを悪用して、次のような情報にアクセスすることができます。
- 旧・現住所
- 社会経済的地位と物理的位置を特定する
- 親戚の名前
- 悪意のあるメッセージを届ける際、偽装できる
- 住宅価格
- 社会経済的地位に関する、より詳細な情報
- ソーシャルメディア アカウント
- 旅行の予定、興味関心、友人名といったスプーフィングのための情報を入手できる
- メールアドレス
- 悪意のあるメール配信の標的とする
- 車両識別番号
- さらなる社会経済的地位情報、および所有者証明書偽造のおそれあり
- 逮捕写真を含む犯罪歴
- 脅迫や強制に使われるおそれあり
- 旅行の予定表と情報
- 社会経済的地位と物理的地位についてのさらなる詳細情報
- 破産、住宅ローン、租税裁判等を含む司法判断
これらの公開された情報源から集められた 1 つ 1 つの情報をスミッシング攻撃に利用することにより、攻撃で用いられるおとりの言葉の真実味が増し、あなたが犠牲になる可能性が高まることになります。
図 2. 携帯電話番号と検索可能な情報の関係マトリックス図
携帯電話番号の漏洩と不正利用
サイバー犯罪者はこれらの情報を公的な情報源から得ているため、たとえ携帯電話が存在しなくても、入手可能だったはずです。しかし、携帯電話があることによりはるかに情報の入手が容易になったことは否めません。なぜなら、携帯電話番号さえわかれば、それを主キーとして、すべての個別のデータベースとさまざまな種類の情報を横断して検索できるようになってしまうからです。これにより、サイバー犯罪者にとっては調査に費やす手間と時間が減り、その代わりに被害者の種類や攻撃の工作に、さらに時間をかけられるようになるのです。
犯罪の「エコシステム」と呼ばれるこの状況は、しばしば合法的な経済を反映しており、多くのデータ収集業者が顧客を理解しようとするビジネスを支える一方で、ダークウェブでは犯罪者がデータ侵害によって収集した大量の個人情報を販売しています。LinkedIn、Yahoo!、Facebook で実際に起こったような大規模データ侵害が最たる例です。人物検索により収集された詳細と、これらの Web サイトの情報窃取をベースに、攻撃者は犠牲者を操作するのに必要な個人プロフィールを作成するのです。
携帯電話番号の悪用
従来のスピア フィッシング キャンペーンを組み立てるには、次のような個別の手順を踏みます。
- 収集: 発見または偵察による情報収集
- 組立て: 偽造認証情報、写真、その他の安心させるメッセージを作成
- 接触: メール、チャット、SMS テキストメッセージを通じ標的に接触
携帯電話番号を使うことで、サイバー攻撃者は、時間のかかる収集フェーズをスピードアップすることができます。次に、接触フェーズでメールではなく SMSテキストメッセージ を使うことで、Eメールなどに比べはるかに脆弱な媒体にメッセージを届けることができます。SMSテキストメッセージを用いたスミッシングは、従来のメールによるスピア フィッシングよりも、手早く、正確に、効果の高い確度の攻撃につながるのです。
図 3. カスタマイズされた「スピア スミッシング」メッセージの例
社内コミュニケーションにおいてBYOD(bring-your-own-device、私的デバイスの活用)モデルがもてはやされるなか、企業で働く多くの人が個人の携帯電話で会社のアカウントを使用するようになりました。その結果、個人情報と企業機密情報が暴露され、経済損失につながるリスクが高まっています。
今や携帯電話は広く普及し、それがもたらすメリットは、私たちの生活の中心的な存在を成すまでになっています。もはや、日常生活を送るなかで携帯電話番号を誰にも教えないことにするというわけにはいきません。では、電話番号を教えることによるリスクはどうすれば軽減できるのでしょうか。
サイバー セキュリティではよく見られることですが、知識があればもう半分勝利したようなものです。執拗な犯罪者がどれほど多くの情報を見つけ出すことができるかを知っていれば、もっとも信憑性があり予期していなかった SMS テキストメッセージやモバイル アプリのチャットメッセージでさえ、警戒しなければならないことを理解できます。
前述のように、携帯メッセージを受信してから読むまでは 3 分しかかからないと言われていますが、次に受信する際はそこからあと数分かけて、本当に送信者が名乗っているとおりの人なのかを判断するようにしましょう。
※本ブログの情報は、英語による原文「What can a cyber criminal learn about you using your mobile number?」の翻訳です。英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
●あわせて読みたい
