サイバー犯罪者が、盗み出した電話番号を利用してSIMスワップ攻撃やビッシング詐欺を行い、個人データの完全なアカウント乗っ取りを実行する事例が増加している [1, 2]。
電話番号は多くの場合、アカウント復旧や二要素認証の主要なキーとして機能しているため、この傾向は極めて深刻である。攻撃者が電話番号の制御権を握ることで、金融情報やプライベートな情報を保護するために設計されたセキュリティ制御を回避することが可能になる [1, 3]。
主な手法の一つがSIMスワップ攻撃である。このシナリオでは、ハッカーが携帯電話会社を欺き、被害者のサービスを新しいSIMカードに転送させる。転送が完了すると、被害者はネットワークアクセスを失う一方で、攻撃者は銀行やメールアカウントのセキュリティコードを含むすべての通話とテキストメッセージを受信できるようになる [3]。
もう一つの増大する脅威が、ビッシング(音声フィッシング)である。この手法は、電話を利用して個人を騙し、機密情報を開示させるものである。この脅威の規模は、Charter Communicationsに関わるデータ漏洩で明らかになっており、ハッカーはビッシングの手口を用いて数百万件の顧客記録を盗み出した [4]。
これらの手法は世界的な規模で展開されているが、特に米国の通信事業者のユーザーに大きな影響を与えている [4, 2]。世界的な電話利用者の75%が、多種多様な日常業務をデバイスに依存しているという事実が、この脆弱性をさらに悪化させている [5]。
セキュリティ専門家は、これらの手法が2024年から2025年にかけても依然として普及した脅威であり続けると述べている [6, 2]。電話番号は非常に多くのデジタルアイデンティティに紐付けられているため、個人データの窃取や詐欺を企てる者にとって価値の高い標的となっている [1, 3]。
“ハッカーは電話番号を利用して、SIMスワップ攻撃、ビッシング、およびアカウント乗っ取りを行うことができる。”
電話ベースの認証への移行により、デジタルセキュリティに単一障害点(シングルポイントオブフェイラー)が生じている。攻撃者が従来のパスワード推測から、ソーシャルエンジニアリングや通信事業者レベルの脆弱性攻撃へと移行するにつれ、SMSベースの二要素認証の信頼性は低下しており、ハードウェアセキュリティキーやアプリベースの認証方式への移行が必要となっている。
