電話番号が流出した場合の影響と対処法
電話番号が流出しているか調べる方法について投稿したところ、反響が大きかったのでその続きを書きます。
Contents
電話番号が流出した場合のリスクとは
電話番号のみが流出しているのであれば、それほど大きなリスクはありません。特に携帯電話の番号なんて、090始まりと080始まりが足らなくなって、070始まりの番号も携帯電話に割り当てられ始めたくらいなので、090-XXXX-XXXXや、080-XXXX-XXXXで適当に数字を入れれば、使われている電話番号がすぐヒットします。
なので、SMSのスパムメールが来たり、迷惑電話がかかってきたりしますよね。これらの受信は自分では防ぐのが難しいので、仕方ないです。
問題なのは、電話番号に加えて、他の情報もセットで流出している場合。例えば、氏名だったり、Eメールアドレスだったり、SNSアカウントだったり。
Webサービスのアカウントを乗っ取られるリスク
SNSを始めとするWebサービスの中には、電話番号がログインIDになっているものがあります。また、多要素認証でSMSを使うWebサービスや、パスワードリセットでSMSを使うWebサービスもあります。
もちろん、電話番号が流出しただけでは、アカウントを乗っ取られる可能性は低いでしょう。
でも、仮に、前回記事で紹介した「haveibeenpwned」で確認した結果、Facebookから電話番号とEメールアドレスと誕生日がセットで流出していることが分かったとします。どうでしょうか、だいぶアカウントを乗っ取られる可能性が高いと思いませんか?
もしSNSのアカウントを乗っ取られたらどうなるでしょうか?
あなたの友人やフォロワーに対して、詐欺DMを送りつけてお金を巻き上げようとしたり、あなたの代わりに不適切な投稿をされて、あなたの信用を下げることになるかもしれません。
一時期LINEが乗っ取られて、友人たちに「iTunesカードを5万円分購入して、コードを送信して」「ウェブマネーを5万円分購入して、コードを送信して」とLINEを送りまくるのが流行りました。
あなたはITリテラシーが高くて騙されないとしても、あなたがの友人たちは必ずしもそうとは限りません。お金を払ってしまう人もいるかもしれません。あなたの友人たちが被害に合わないよう、あなた自身が気をつけましょう。
電話番号自体を乗っ取られる可能性も
多要素認証だろうがパスワードリセットだろうが、「SMSを送信することができても、SMSを受信できる携帯電話は自分が持ってるから、安心じゃないの?」と思いますよね。
実は、電話番号自体を乗っ取られることもあるんです。勝手に携帯電話を解約され、MNPで他キャリアでその電話番号を利用され、銀行から1千万円を引き出された事件がありました。
MNPに限らず、「SIMカードを紛失した」などと言ってキャリア窓口へ行き、SIMカードの再発行をしてもらい、従来のSIMカードが無効化される事例もあります。
このような手法はSIMスワップもしくはSIMハイジャックと呼ばれる手口で、問題視されています。
そのため、多要素認証におけるSMS認証はセキュリティレベルが低いため、Twitterも(まずは無料アカウントだけですが)SMS認証を廃止しましたね。
電話番号が流出していたらどうすれば良いか
では、もし電話番号が流出していたらどうすれば良いのでしょうか。ベストなのは電話番号変更です。ただ、メールアドレスと違い、電話番号はなかなか変えられないという人も多いのではないでしょうか。
そんな場合に、Webサービスのアカウント乗っ取りリスクを小さくする方法を2つ紹介します。
(1) 多要素認証はSMS以外を選択
Webサービスによっては、Google AuthenticatorやMicrosoft Authenticatorなどの認証アプリを利用した多要素認証を利用することができます。SMS認証よりもセキュリティレベルが高いため、こちらの設定へ乗り換えましょう。
「従業員に認証アプリを用いた多要素認証の設定をさせたいが、やり方が分からない」
そんな方がいらっしゃいましたら、企業向けに有料サポートも行っておりますので、お気軽にご相談ください。(カテゴリーは「情報セキュリティについて相談したい」を選択願います)
(2) Eメールアドレスやパスワードを変更
SMS認証が必須になっているWebサービスもまだまだ多い印象です。そんなときは、Eメールアドレスやパスワードを変更するのがおすすめです。
ログインID(Eメールアドレス) + パスワード + SMS(電話番号)の3つの組み合わせでログインできるWebサービスの場合、この組み合わせの中から1つでも変えればログインできなくなりますので、アカウントを乗っ取られるリスクが下がりますよ。
最後までお読みいただきありがとうございました。