メールアドレスから電話番号まで、新しいOSINTアプローチ(2019)

 (martinvigo.com)
1 ポイント 投稿者 GN⁺ 2023-11-18 | 1件のコメント | WhatsAppで共有

要約: メールアドレスから電話番号へ、新しいOSINTアプローチ

  • 最近、パスワード再設定オプションの脆弱性と攻撃ベクトルに関する研究が進められている

  • BSides Las Vegasで「Ransombile」というツールが発表され、SMSを通じたパスワード再設定の自動化や、物理的アクセスが可能なロックされたモバイル機器に対する標的型攻撃が容易になった

  • DEF CONおよびCCCでは、ボイスメールシステムの脆弱性を利用した、電話経由のパスワード再設定の問題が提起された

  • パスワード再設定時、一部の電話番号の数字がUI上で部分的に表示されることが発見された

  • Webサイトごとに個人識別情報(PII)を隠す方法に標準がない

  • 例えばPaypalの場合、メールアドレスだけ分かれば電話番号10桁のうち5桁が分かる

詳細調査

  • メールアドレスだけでパスワード再設定を開始できる人気Webサイトのリストを作成し、検討した
  • 例えば、eBayとLastPassのアカウントを持っている場合、攻撃者はメールアドレスだけを知っていても電話番号の7桁を知ることができる

残りの数字を見つける

  • 米国の電話番号は、市外局番、交換局コード、加入者番号で構成される
  • North American Numbering Plan Administrator(NANPA)を通じて、市外局番と対応する交換局の最新リストを確認できる
  • 例えばサンフランシスコでは、415市外局番で未割り当ての216個の交換局番号を使うことで、候補となる電話番号を784件まで絞り込める

National Pooling Administration

  • 電話番号の割り当てを管理するNational Pooling Administrationを通じて、加入者番号に基づいて無効な電話番号を除外できる
  • 例えば、Sausalitoの415-272-XXXX番号では、415-272-[0-8]XXXを除外し、9で始まる番号だけに集中できる

それでも多くの候補番号が残る

  • メールアドレスを持つ標的の電話番号7桁を把握した後、NANPAとNational Pooling Administrationを使って候補の電話番号を絞り込める
  • 残った電話番号を手作業で確認する代わりに、検索エンジン、オンラインサービス、電話システム関連のオンラインサービスを通じて、メールアドレスに関連付けられた電話番号を見つけられる

同じ攻撃ベクトルを逆に使う

  • AmazonやTwitterのようなサービスを通じて電話番号でパスワード再設定を試みると、メールアドレスの一部の文字を取り戻せる
  • メールアドレスを使って複数のサイトから電話番号の数字を収集し、NANPAおよびNational Pooling Administrationの公開データを使って候補となる電話番号リストを絞り込み、残った電話番号リストを反復しながら、標的のメールアドレスと一致するメール文字列を相関させられる

自動化

  • email2phonenumber」というツールにより、部分的な電話番号を与えて有効な電話番号リストを取得でき、AmazonとTwitterのパスワード再設定機能を使って残りの電話番号を総当たりし、一致するメールアドレスを見つけられる

他の国々

  • 米国外の他の国々の電話番号システムを利用して、電話番号のすべての数字を収集できる
  • 例えばスペインでは、携帯電話番号は9桁であり、eBayやLastPassは電話番号の長さに合わせてマスキングを調整しないため、電話番号の半分以上が分かる

結論

  • PIIをマスキングする標準化された方法がないため、オンラインサービスでメールアドレスや電話番号の部分的な情報が漏えいする可能性がある
  • 特に電話番号が短い国では、多くのサービスが電話番号の長さに合わせてマスキングを調整しないため、電話番号全体が分かってしまう
  • ユーザーが「個人メール」や「業務用電話」のようなラベルを設定できるようにし、パスワード再設定時にはPIIの代わりにラベルを表示することを提案している

GN⁺の見解

この記事で最も重要なのは、メールアドレスだけで電話番号を特定できる新しいOSINTアプローチが見つかったことだ。この方法は個人情報保護とセキュリティに重大な影響を及ぼす可能性があり、こうした脆弱性を悪用する攻撃者への警戒心を高める助けになる。この記事は、ソフトウェアエンジニアリングやセキュリティに関心のある人々に興味深い話題を提供し、個人データ保護の重要性を強調している。

関連記事

1件のコメント

 
GN⁺ 2023-11-18
Hacker Newsのコメント
  • あるユーザーは、自動車部品を半ば詐欺まがいの相手から購入したが、売り手は代金を受け取ってから何週間も注文全体を発送しなかったと共有している。複数のプラットフォームでやり取りする中で売り手の身元情報の一部を入手し、それをもとに売り手の勤務先へ電話して部品の発送を求めたところ、翌日にすべての商品が発送されたという。
  • 別のユーザーは、CNAMデータベース(米国限定)について言及し、通信事業者がアルファベットの発信者IDを提供するために使われているが、ほとんどの通信事業者はこの情報を表示しないにもかかわらずアクセスは可能だと説明している。CNAMデータベースの照会は無料ではないが、比較的安い費用で数百件の番号を照会する方法は見つけられるだろうとしている。
  • あるユーザーは、PayPalはメールアドレスさえ分かれば市外局番を含む5桁の数字を表示し、攻撃者が対象のパスワードを知っていれば3桁だけ表示すると指摘し、PayPalがこれを設計上の問題と見なして対処していないと批判している。また、LinkedInから番号を得る方法や、他の場所で番号と結びつける方法についても疑問を呈している。
  • 別のユーザーは、仮想番号の利用を検討するよう助言し、2枚目のSIMカードという選択肢は米国では依然として珍しいと述べている。また、多くのサイトは電話番号を照会してVOIPプロバイダーをブロックしており、その結果アカウントを再利用できなくなることもあるという。
  • スウェーデンのあるユーザーは、自分のメールアドレスと電話番号が多くの電話帳に公開されており、スウェーデンでは住所や電話番号を検索可能にしておくのが標準的な慣行だと説明している。こうした公開された個人情報には、人々がそれを秘密だと考えなくなり、誰かの番号を知っていてもその人になりすます助けにはならないという前向きな側面があるとも述べている。
  • あるユーザーは、プライバシー保護のために名前を少し変えて言及するユーモラスなやり方を使っている。
  • あるベンチャーキャピタリストは、メールを無視する人々に対して有用な技術だと述べている。
  • 別のユーザーは、サービスごとに異なるメールアドレスとGoogle Voice番号を使い分ける手間は、最終的にはそれだけの価値があったと評価している。
  • あるセキュリティ研究者は、メールアドレスから電話番号を自動生成するツールのような研究成果を公開することが正当化されるのか疑問を呈している。悪用例の方が正当な理由よりはるかに多いはずだと主張し、研究者が「研究」のためにそれを行いグレーゾーンにいるから免責されるのか、あるいは脆弱性を公開した企業と対話して問題を解決したと感じているのかと疑問を示している。
  • 最後のユーザーは、GitHubのPythonプロジェクトのトレンドページをよく確認していると述べ、このリポジトリがなぜトレンド入りしているのか分からないとしている。多くのサービスがすでに脆弱性を修正していたにもかかわらず、Hacker Newsに投稿されたというだけでPythonのトレンドページに載り得る点を興味深いと感じている。