セキュリティ

電話番号が流出した場合の影響と対処法

2023.05.07

セキュリティ

電話番号が流出しているか調べる方法について投稿したところ、反響が大きかったのでその続きを書きます。

自分のメールアドレスや電話番号が情報流出しているか確認する方法

Twitter社から、2億件以上の情報が流出したと話題になっています。このような情報流出は残念ながら度々あるのですが、自分のメールアドレスや電話...

Contents

1 電話番号が流出した場合のリスクとは
- 1.1 Webサービスのアカウントを乗っ取られるリスク
- 1.2 電話番号自体を乗っ取られる可能性も
2 電話番号が流出していたらどうすれば良いか
- 2.1 (1) 多要素認証はSMS以外を選択
- 2.2 (2) Eメールアドレスやパスワードを変更

電話番号が流出した場合のリスクとは

電話番号のみが流出しているのであれば、それほど大きなリスクはありません。特に携帯電話の番号なんて、090始まりと080始まりが足らなくなって、070始まりの番号も携帯電話に割り当てられ始めたくらいなので、090-XXXX-XXXXや、080-XXXX-XXXXで適当に数字を入れれば、使われている電話番号がすぐヒットします。

なので、SMSのスパムメールが来たり、迷惑電話がかかってきたりしますよね。これらの受信は自分では防ぐのが難しいので、仕方ないです。

問題なのは、電話番号に加えて、他の情報もセットで流出している場合。例えば、氏名だったり、Eメールアドレスだったり、SNSアカウントだったり。

Webサービスのアカウントを乗っ取られるリスク

SNSを始めとするWebサービスの中には、電話番号がログインIDになっているものがあります。また、多要素認証でSMSを使うWebサービスや、パスワードリセットでSMSを使うWebサービスもあります。

もちろん、電話番号が流出しただけでは、アカウントを乗っ取られる可能性は低いでしょう。

でも、仮に、前回記事で紹介した「haveibeenpwned」で確認した結果、Facebookから電話番号とEメールアドレスと誕生日がセットで流出していることが分かったとします。どうでしょうか、だいぶアカウントを乗っ取られる可能性が高いと思いませんか？

もしSNSのアカウントを乗っ取られたらどうなるでしょうか？

あなたの友人やフォロワーに対して、詐欺DMを送りつけてお金を巻き上げようとしたり、あなたの代わりに不適切な投稿をされて、あなたの信用を下げることになるかもしれません。

一時期LINEが乗っ取られて、友人たちに「iTunesカードを5万円分購入して、コードを送信して」「ウェブマネーを5万円分購入して、コードを送信して」とLINEを送りまくるのが流行りました。

あなたはITリテラシーが高くて騙されないとしても、あなたがの友人たちは必ずしもそうとは限りません。お金を払ってしまう人もいるかもしれません。あなたの友人たちが被害に合わないよう、あなた自身が気をつけましょう。

電話番号自体を乗っ取られる可能性も

多要素認証だろうがパスワードリセットだろうが、「SMSを送信することができても、SMSを受信できる携帯電話は自分が持ってるから、安心じゃないの？」と思いますよね。

実は、電話番号自体を乗っ取られることもあるんです。勝手に携帯電話を解約され、MNPで他キャリアでその電話番号を利用され、銀行から1千万円を引き出された事件がありました。

さっきまで使えてたスマホ、通話音が…しない　勝手に解約されたかも　被害男性の証言

　見知らぬ誰かが自分のスマートフォンを勝手に解約していた。７月下旬、神戸市の会社経営の男性（６０）は何者かに携帯電話を乗っ取られた上、銀...

MNPに限らず、「SIMカードを紛失した」などと言ってキャリア窓口へ行き、SIMカードの再発行をしてもらい、従来のSIMカードが無効化される事例もあります。

このような手法はSIMスワップもしくはSIMハイジャックと呼ばれる手口で、問題視されています。

そのため、多要素認証におけるSMS認証はセキュリティレベルが低いため、Twitterも（まずは無料アカウントだけですが）SMS認証を廃止しましたね。

電話番号が流出していたらどうすれば良いか

では、もし電話番号が流出していたらどうすれば良いのでしょうか。ベストなのは電話番号変更です。ただ、メールアドレスと違い、電話番号はなかなか変えられないという人も多いのではないでしょうか。

そんな場合に、Webサービスのアカウント乗っ取りリスクを小さくする方法を2つ紹介します。

(1) 多要素認証はSMS以外を選択

Webサービスによっては、Google AuthenticatorやMicrosoft Authenticatorなどの認証アプリを利用した多要素認証を利用することができます。SMS認証よりもセキュリティレベルが高いため、こちらの設定へ乗り換えましょう。

「従業員に認証アプリを用いた多要素認証の設定をさせたいが、やり方が分からない」
そんな方がいらっしゃいましたら、企業向けに有料サポートも行っておりますので、お気軽にご相談ください。（カテゴリーは「情報セキュリティについて相談したい」を選択願います）

お問い合わせ

IT基礎研修、IT化推進やクラウドサービス導入のコンサル、情報セキュリティのコンサルなどを承っております。以下からお問い合わせをお願いします...

(2) Eメールアドレスやパスワードを変更

SMS認証が必須になっているWebサービスもまだまだ多い印象です。そんなときは、Eメールアドレスやパスワードを変更するのがおすすめです。

ログインID（Eメールアドレス） + パスワード + SMS（電話番号）の3つの組み合わせでログインできるWebサービスの場合、この組み合わせの中から1つでも変えればログインできなくなりますので、アカウントを乗っ取られるリスクが下がりますよ。

最後までお読みいただきありがとうございました。

Dai Fujikawa

プロフィール

国内最大級の金融IT企業で創業2年目から社内IT担当。その傍ら、副業（複業）で個人事業主として活動中。中小企業のIT顧問...

投稿者: Dai Fujikawa
セキュリティ

電話番号が流出した場合の影響と対処法