重要: キャリアごとに「クーリングオフ」期間は異なります(一般的に45〜90日、サービスによっては120日など)。番号再割当て前にアカウント連携を解除することが最も確実な防御です。
電話番号は有限です。携帯事業者は、使用されなくなった番号を回収して再割当て(リサイクル)します。これ自体は資源の有効活用ですが、セキュリティ面では重大な問題を招きます。再割当てされた番号を新しい利用者が受け取ると、以前の所有者に紐づいたワンタイムコードやパスワードリセット用のSMSを受け取ることができ、結果としてなりすましやアカウント乗っ取りが可能になります。
このガイドは、電話番号の再利用によるリスクを理解し、番号変更や解約の前後で取るべき具体的な手順、組織や個人が実践できるチェックリストと緊急対応を提供します。
なぜ電話番号の再利用は危険か
多くのオンラインサービスは電話番号を本人確認・アカウント回復・2要素認証(2FA)に使います。特にWhatsAppのように電話番号自体がIDになるサービスもあります。あなたが番号を解約した後に、番号を新しい利用者が受け取ると、その番号宛ての認証コードや回復リンクを受け取り、旧所有者のアカウントにアクセスできる可能性があります。
- キャリアのクーリングオフ期間(番号を一時的に保留する期間)は、一般に45〜90日が多いです。ただし、サービス側の「非アクティブ判定」は別で、WhatsAppは120日連続で非アクティブならアカウントを削除します。サービスによって消去規則はまちまちです。
- ハッカーは流出データや連番ブロックを突き合わせて再利用された番号を探し、順次悪用します。攻撃手法は自動化されており、同じ番号ブロック内で複数のサービスを攻撃することがあります。
この問題に対する一番の対策は「番号を使わない、あるいは解約前に確実にすべての紐づけを解除すること」です。
番号変更・解約前にやるべきこと(全般チェックリスト)
以下は番号を解約・変更する前に必ず実行するチェックリストです。作業は計画的に、時間をとって進めてください。
- 全アカウントの電話番号欄を確認して、旧番号が残っているサービスを一覧化する。
- メッセージアプリ(WhatsApp、Signal、Telegram等)は公式の移行または削除手順で処理する。
- SMS受信に頼るサービスは、可能ならメールやパスキーへ回復手段を切り替える。
- プロモーションや通知の解除(SMS/メールの登録解除)を行う。
- 重要な連絡先へ個別に番号変更の通知を送る。
- 番号を維持する場合は、利用を継続し未払いがないようにする。
すべてのアカウントから番号を外す方法(実務手順)
- まず、アカウントインベントリを作る。下段にテンプレートを載せています。
- メールのログを確認する。登録確認メールや通知は電話番号を含むことが多いため、メール検索で旧番号を引用符付きで検索します(例: “09991234567”)。
- パスワードマネージャーのエントリを確認する。多くのサービス情報が保存されています。
- GoogleやFacebookの「接続済みアプリ」ページでOAuthログインを確認し、関連サービスを洗い出す。
- 各サービスで電話番号を削除、もしくは別の連絡先(セカンダリメールや別番号)に切り替える。
メール内検索のヒント
- メール検索で電話番号を引用符で検索すると誤検出が減ります。例: “09991234567”。
- サービス名や「登録」「確認」「SMS」などのキーワードと組み合わせると見つけやすくなります。
メッセージングアプリの正しい移行・削除
WhatsApp、Signal、Telegramなどは番号をIDとして使います。単にSIMを抜いただけでは不十分です。必ず各アプリの公式機能で番号変更またはアカウント削除を行ってください。これにより、データ移行やアカウントの無効化(新所有者へのデータ移行を防ぐ)を確実にできます。
例: WhatsAppでは「設定」→「アカウント」で「番号を変更」と「アカウントを削除」が選べます。
プロモーションや通知の解除
プロモーションSMSやメールは、旧所有者の名前・居住地域・興味を示す情報の宝庫です。これらが新しい所有者の手に渡ると、ソーシャルエンジニアリング攻撃に使われます。以下を実行しましょう。
- SMSのプロモーションは受信メッセージから
STOPやUNSUBSCRIBEで解除できる場合があります。メッセージ末尾に解除方法が書かれていることが多いです。 - サービスのアカウント設定でプロモーション受信をオフにする。
- データブローカー(電話帳データを集める業者)から削除依頼を出す。各地域のデータプロバイダの削除方法は異なるので、該当するサイトのガイダンスに従ってください。
重要な連絡先への通知
会社の同僚、家族、取引先、銀行など重要な連絡先には個別に番号変更を知らせてください。番号が再割当てされた後も古い番号を保存している人は多く、間違って新所有者に連絡する可能性があります。
- ビジネス連絡先には安全なメッセージ(例: 暗号化されたメール)で変更を通知するとよいです。
- グループチャットや公開プロフィールの電話番号も更新してください。
番号を維持する場合の注意
番号を残したい場合でも次の点に注意してください。
- プリペイド契約: 定期的にチャージし、一定期間の利用を維持すること(通話、SMS、データ使用など)。
- ポストペイド契約: 請求を滞らせないこと。料金未払いでサービス停止・解約になると再割当てのリスクがあります。
電話番号ベースのアカウント回復と2FAを避ける方法
電話番号をアカウント回復や2FAに使うのは利便性が高い一方でリスクがあります。より安全な代替手段を検討してください。
- メールによる回復をメインにする。セカンダリメールを設定しておくと復旧がスムーズです。
- パスキー(FIDO2/WebAuthn)をサポートするサービスではパスキーへ移行する。パスキーはフィッシングに強く、番号に依存しません。
- 2FAはSMSではなくTOTP(Authenticatorアプリ)やプッシュ通知型認証を使う。
注: 金融機関や一部のサービスでは電話番号が必須の場合があります。必須項目は個別に確認し、可能な限り追加の保護(ハードウェアキー、認証アプリ)を導入してください。
決定フロー: 番号解約前に何をするか
次の簡単な判断ツリーで、あなたが取るべき最短の行動が分かります。
flowchart TD
A[番号を解約/変更する予定ですか?] -->|はい| B{その番号を使う重要なサービスはありますか?}
A -->|いいえ| Z[特に対応不要。番号を維持]
B -->|ある| C[サービス一覧を作成して番号を削除]
B -->|ない| D[アプリを削除、プロバイダに解約通知]
C --> E[メッセージアプリは公式手順で移行/削除]
E --> F[プロモーション解除と連絡先通知]
D --> F
F --> G[解約後、1〜3ヶ月は監視(メール・通知)]
G --> H[再割当て後も不正アクセスがないか確認]役割別チェックリスト
個人ユーザー:
- 全てのアカウント一覧を作る。
- メッセージアプリを公式に移行・削除する。
- 重要連絡先に個別通知する。
企業IT管理者:
- 社員の番号管理ポリシーを定める。
- 番号変更の申請フローを作成する(承認・監査ログを残す)。
- MDMやSaaSのアカウントから古い番号を一斉に外す手順を作る。
セキュリティ担当:
- アカウントリスク評価を実施する(番号に依存している重要システムの洗い出し)。
- SMSを回復手段にしているサービスの一覧を作成し、代替策を優先導入する。
- 番号再割当ての監視と発見時の対応計画を策定する。
手順テンプレート: アカウントインベントリ
下表をコピーして使ってください。
| サービス名 | 登録メール | 電話番号 | 2FAの種類 | ステータス | 次の操作 | 備考 |
|---|---|---|---|---|---|---|
| 例: 銀行A | [email protected] | 099-9123-4567 | SMS | 要対応 | 支店で電話番号変更 | 要本人確認 |
このテンプレートを埋めることで、どのサービスで対応が必要か一目で分かります。
緊急対応ランブック(万が一の乗っ取りを疑ったら)
- すぐに主要サービス(メール、SNS、銀行)でパスワードを変更する。可能なら認証アプリやハードウェアトークンでの2FAへ切り替えてください。
- 該当サービスのサポートへ連絡し、アカウントの一時停止やロックを依頼する。
- 電話番号の発信履歴やSMS履歴(スクリーンショットで保存)を保存する。調査に役立ちます。
- 金融被害が疑われる場合は速やかに金融機関へ届け出を行い、必要なら警察へ相談してください。
いつこの対策が効かないか(反例)
- サービスが電話番号を唯一の識別子として設計しており、番号が削除できない場合。この場合はサービス移行や追加の認証手段導入を検討する必要があります。
- サービス側が古いユーザーデータを長期間保持し続け、番号削除の要求が拒否される場合。利用規約やサポートに基づき個別対応を行ってください。
実践的なヒューリスティック(頭の中で使う指針)
- 使う頻度が低い番号はリスクが高い。放置せず整理する。
- 重要なサービスは番号を唯一の回復手段にしない。
- 番号を変える際は『先にサービスから外す、次に番号を解約』の順で進める。
1行用語集
- クーリングオフ期間: 携帯事業者が解約済み番号の再割当てまで設ける保留期間。
- パスキー: WebAuthnなどの標準で提供される、パスワードに代わる認証方法。
- TOTP: 時間同期型ワンタイムパスワード。認証アプリで生成する2FA方式。
プライバシーと法令に関する注意点
国や地域によってデータ保持・削除に関する法規が異なります。番号削除やデータ削除を事業者に請求する際は、該当国の個人情報保護法や通信法を確認してください。
まとめ
電話番号の再利用はアカウント乗っ取りの現実的なリスクです。番号を変更する前に必ず全アカウントの紐づけを解除し、メッセージングアプリは公式手順で移行・削除してください。SMSベースの2FAはリスクを伴うため、可能な限りTOTPやパスキーへ移行することを推奨します。最後に、重要な連絡先へは個別通知を行い、解約後もしばらくは不審なアクセスがないか監視してください。
短い通知文(社内/友人向けテンプレート):
件名: 電話番号変更のお知らせ
本文: いつもお世話になっております。私の連絡先電話番号を以下の通り変更します。旧番号: 099-9123-4567 → 新番号: 080-1234-5678。重要な連絡は新番号へお願いします。万一、旧番号へ誤って連絡が行った場合はご注意ください。
短い告知(SNS/プロフィール用):
電話番号を変更しました。緊急連絡はDMでお願いします。
