「あなたの位置情報や個人情報がリアルに除かれている」

そんな背筋の凍る実態を、欧州の調査報道機関が暴きました。Altamidesと呼ばれる電話追跡プラットフォームは、端末にマルウェアを入れず、電話番号だけで世界中のターゲットを追跡できるとされます。
報道によれば、対象は168か国・少なくとも1.4万件の電話番号に及び、ジャーナリスト、政治家、企業経営者、エンタメ関係者などが含まれていました。

本稿では、その仕組み、誰が・なぜ使ったのか、日本への影響、そして今日からできる対策までをわかりやすく解説します。

Altamidesとは何か：提供元、由来、何が“新しい”のか

• 提供元：インドネシア登録のサイバー監視企業First Wapが提供。1999年に創業し、当初はSMS関連事業から通信監視へと軸足を移し、看板製品としてAltamides（旧称FastTrax）を展開
  Le Monde.fr+1

• 名称の由来：Advanced Location Tracking And Mobile Information & Deception System（高度位置追跡・モバイル情報＆欺瞞システム）。英系販売サイトの製品説明にも“ALTAMIDES®”の表記が確認できます。
  GIOSEC

• 従来型スパイウェアとの違い：Pegasusのように端末に侵入して痕跡を残すタイプではなく、携帯通信網（SS7などのシグナリング）を悪用して位置情報やSMSを取得するネットワーク層型。そのためクリック誘導や端末感染が不要で、検知が極めて難しいのが最大の脅威です。
  Amnesty International Security Lab+2Lighthouse Reports+2

どうやって追跡するのか：技術的メカニズムの要点

調査報道（Lighthouse Reports）と技術解説によると、AltamidesはSS7（Signaling System No.7）等の国際通信シグナリング網を用い、以下の操作を可能にするとされます。Lighthouse Reports+2Lighthouse Reports+2

1. 位置特定：携帯番号に紐づく端末の**現在地（基地局レベル）**を、ローミング照会やシグナリングメッセージで取得 Lighthouse Reports

2. SMSの取得・偽装：SMSの受信や送信の傍受、あるいは送信元詐称（spoofing）。これにより2要素認証SMS（例：WhatsApp認証コード）の悪用も理論的に可能 Lighthouse Reports

3. 発着信情報の掌握：通話関連のシグナリングにより通話メタデータやVoicemail経由の迂回取得が可能なケース Amnesty International Security Lab

重要：こうした操作は端末そのものに改変を加えないため、モバイルOSのセキュリティ対策では防ぎづらい構造的問題です。
Amnesty International Security Lab

誰が狙われたのか：被害規模と対象像

• 規模：2007年以降、168か国、少なくとも14,000件の電話番号が追跡対象に。関連ログは150万件超のリクエストに及ぶと報告 Lighthouse Reports+1

• 対象：ジャーナリスト、企業幹部、外交官、政治家、活動家、芸術家など。著名人を含む幅広い層が追跡されていたと各紙が報道 Le Monde.fr+1

• 販売・運用の実態：欧州を含む複数地域の拠点や通信事業者との相互接続を活用し、可視化されにくい形で運用していた疑い。関与を否定する当事者もいるが、規制の穴を突く形で国家以外の主体にも利用されていた可能性が指摘されています。Le Monde.fr

なぜ見抜けないのか：検知困難の理由

1. 端末側に痕跡がほぼ残らない（アプリ・マルウェア不使用）

2. 国際ローミングの仕組みが広域・多段で、どこから仕掛けられているかを特定しにくい。

3. SS7の歴史的設計上の脆弱性（相互信頼モデル）が根底にあり、国家・事業者間の相互接続を経由すると正規通信のように見える。Amnesty International Security Lab+1

日本への影響と可能性

• 日本の番号が含まれたか？ 現時点の公開報道では国別の完全なリストは明示されていません。ただし調査は168か国に及び、国際シグナリングの構造上、日本の+81番号も理論上は同様のリスクに晒されると解釈できます。Le Monde.fr

• 通信網の性質：日本の加入者であっても、海外ローミング時や国外事業者経由の不正照会で影響を受ける余地があります。端末側のOS対策だけでは不十分で、キャリア／国レベルの対策が鍵になります。Amnesty International Security Lab

• 規制面の示唆：欧州の人権団体は**“規制の空白”が監視産業を肥大化させたと指摘。日本でも監視技術の輸出管理・調達透明性・通信事業者の網内防御要件**など、制度設計の再点検が急務です。Amnesty International Security Lab

いま取れる対策：個人・企業・通信事業者の3レイヤー

A. 個人が“今日から”できること

1. SMS依存の2FAを減らす：認証アプリ（TOTP）やFIDO2/パスキーへ移行。SMSは緊急時のバックアップのみに Lighthouse Reports

2. WhatsAppやSignalの“登録ロック/2段階認証”を有効化（SMS乗っ取り悪用への備え） Lighthouse Reports

3. 電話番号の公開最小化：SNSプロフィールやWhois、名刺PDFなどクローラブルな露出を削減

4. 留守電（Voicemail）設定の見直し：既定PINや遠隔アクセス機能は強固なPINに変更、不要なら無効化 Amnesty International Security Lab

5. 海外渡航時のローミング管理：不要なローミングをOFF、現地eSIMの活用で回線分離

B. 企業・組織のリスク低減

1. 役員・広報・記者・研究者の“番号衛生”ガイドラインを策定（公開範囲、認証手段、連絡ルート分離）

2. アカウント回復経路からSMSを外す（メール＋FIDO2の併用へ）

3. VIP向けの携帯番号ローテーション/二重化（公用・私用分離）

4. Mobile Threat Defenseだけに依存しない（本件は端末外の脅威）

5. メディア・調査部門は“連絡窓口に050等のVoIP番号を使わない”方針（国際網での扱いが異なるため運用を明確化）

C. 通信事業者・規制当局向け（提言）

1. SS7/DIAMETERファイアウォールの厳格化（HLR/HSS照会のレート制御、異常パターンの検知、Home Routingの徹底） Amnesty International Security Lab

2. MAPsec/TCAPsec・DEA（Diameter Edge Agent）での境界防御、CAMEL制御の強化 Amnesty International Security Lab

3. 相互接続パートナーの審査・監査（第三国経由の不審照会遮断、テスト名目の量産照会の禁止） Le Monde.fr

4. 事後検証のための監査ログの可視化と法執行要請のトレーサビリティ確保

5. 輸出入・販売仲介の透明化（欧州で指摘された規制の空白を国内法で補完） Amnesty International Security Lab

主要ファクトまとめ

• Altamides＝First Wapの通信網ベース追跡プラットフォーム。端末感染不要・痕跡が残りにくい。Lighthouse Reports+1

• 2007年以降、168か国で少なくとも1.4万番号が標的、150万超の請求ログが確認 Lighthouse Reports

• SS7等のシグナリング脆弱性を突き、位置情報やSMSを取得／偽装可能 Lighthouse Reports+1

• 日本でも構造的に同種リスクは回避不能。個人の番号衛生・SMS脱却、事業者の網内防御が要 Amnesty International Security Lab

取材元・参考

• 調査報道の本丸：Lighthouse Reports「Surveillance Secrets」本編・技術解説。Lighthouse Reports+1

• 欧州主要紙による国際共同報道（Le Monde 英語版）Le Monde.fr

• 人権団体の技術・規制評価（Amnesty Security Lab）Amnesty International Security Lab

• セキュリティニュースレターによる要約（Risky Business） Risky.Biz

• ALTAMIDES表記の販売資料（GioSec） GIOSEC

補足：日本の読者向けFAQ

Q1：日本の番号は追跡されているの？
A：現時点の公開資料では国別の完全リストは未公表です。ただし構造的リスクは共通で、ローミングや国外事業者経由で影響し得ます。Le Monde.fr+1

Q2：iPhoneやAndroidを最新にすれば防げますか？
A：端末OS更新だけでは不十分。この種の攻撃は通信網側で成立するため、SMS依存の削減とキャリアの網内対策が重要です。Amnesty International Security Lab

Q3：企業として最優先は？
A：SMS 2FAの段階的廃止、VIPの番号運用ポリシー整備、緊急連絡網の回線分離です。