TokyoBlackHatNews

hackread.com 5分で読了

Proxyearthツール、インドのユーザーを携帯番号だけで追跡可能に

誰もがプライバシーを大切にしています。特にオンラインでは。しかし、時折その幻想を完全に打ち砕くツールが現れます。それがまさにProxyearthです。このウェブサイトと連携するTelegramボットは、インド市民の携帯電話番号だけで正確な位置を特定できると主張しています。

例えば、Hackread.comは友人の非公開携帯番号でテストを行いました。サイトは正確かつ最新の詳細情報を返し、個人データが本人の同意なくいかに簡単に漏洩するかについて深刻な懸念を引き起こしました。これは単なるプライバシー侵害ではありません。何百万人ものインド人市民が追跡や監視にどれほど脆弱であるかを示しています。

Image
Proxyearthが携帯番号に紐づく正確な個人情報を表示(画像提供:Hackread.com)

Proxyearthの仕組み

2025年10月に公開されたProxyearthは、ユーザーに携帯電話番号の入力を求め、その番号に紐づく詳細情報を返します。Googleマップに似た地図上でターゲットの位置を特定します。しかし、それだけではありません。サイトは個人の全バイオデータも表示し、内容は以下の通りです:

  1. 氏名
  2. 父親の名前
  3. メールアドレス
  4. 通信事業者
  5. 家屋番号または部屋番号
  6. 建物名または団地名
  7. 他の携帯番号
  8. 郵便番号、市、地区
  9. 平文のAadhaarカード番号

このツールがどのように動作している可能性があるか

「View Full API Responses(APIレスポンス全表示)」というオプションもあり、さらに多くの情報が明かされます。あるセクションではモバイル詳細APIレスポンス、別のセクションではAadhaar詳細APIレスポンスが表示されます。

どちらのAPIレスポンスも、紐づくメールアカウント、別住所、追加の電話番号、その他の個人識別情報など、さらなるデータを公開します。この詳細レベルから、ツールが漏洩したKYC記録や流出したAadhaarデータベース、その他の国関連データソースから情報を取得している可能性が示唆されます。

Image
(画像提供:Hackread.com)

ただし、Proxyearthの正確なバックエンドは不明であり、プライバシーとセキュリティ上の理由からリンクの共有は意図的に行いませんが、現実的な説明はごくわずかです。

一つの可能性は、インドの通信業界内部からのアクセスで、従業員が大規模な加入者データに触れられる場合です。より現実的なシナリオは、通信会社やKYC記録、政府関連データベースの過去の流出からツールが情報を取得していることです。

参考までに、2024年1月、Hackread.com1.8TBのデータベースがサイバー犯罪フォーラムで販売されていると報じました。そのダンプには、インドの携帯ユーザー7億5000万人分の名前、電話番号、住所、Aadhaar番号が含まれていたとされ、国民のほぼ半数に相当します。このデータベースの出所は公式には確認されていませんが、その規模や構造は現在Proxyearthのようなツールが利用しているものと一致します。

また、2021年2月には、Red Rabbit Teamというハッカー集団が、インド最大手通信事業者の一つであるBharti Airtelを侵害したと主張しました。彼らはAadhaarカードのスキャンや個人情報を含む数百万件の顧客記録にアクセスしたと述べました。Airtelは侵害を公に否定しましたが、攻撃者は証拠として一部サンプルを公開しました。

Aadhaarはインドの国民IDシステムで、すべての居住者に一意の12桁番号を割り当てています。これは生体認証や人口統計データと紐づけられ、通信KYCプロセスにもよく利用されます。Aadhaar連携の通信データが流出すれば、Proxyearthで見られるような侵入的な検索が可能になります。

Proxyearthの「About Us」セクション

ProxyearthのAbout Usページを見ると、ツールの実態を過小評価しようとする明らかな意図が見て取れます。インドのユーザー向けの単なる「携帯番号追跡」サイトと自称し、電話番号に紐づく一般的な情報を見つけるのに役立つだけだと示唆しています。しかし、サイトが氏名、Aadhaar番号、住所、建物レベルの位置情報など、極めて機微な個人情報を公開していることには一切触れていません。

このデータの出所、運営者、合法性についての記載は一切ありません。プライバシーポリシーも、サードパーティAPIの開示も、責任の所在もありません。

自らを「トラッカー」と呼び、実際の能力範囲への言及を避けることで、明らかに疑念を和らげようとしています。利便性を強調する言葉を使いながら、密かに大規模なデータ搾取を可能にしています。これらの省略は意図的であり、規制当局やプラットフォーム、セキュリティ研究者からの監視を避けてツールを運用し続ける意図を示しています。

インド国家安全保障への直接的な脅威

Proxyearthのようなツールの存在は、単なるプライバシーの惨事ではなく、国家安全保障への直接的な脅威です。もし正確な位置情報、Aadhaar番号、インド市民の完全な身元情報が、誰でも電話番号さえあれば取得できるなら、大規模な監視、プロファイリング、標的化の扉が開かれます。

法執行機関職員、政府職員、軍関係者、内部告発者、ファクトチェッカー、ジャーナリストも同様に危険にさらされます。悪意ある者の手に渡れば、このレベルのアクセスはスパイ活動や場合によっては国家の不安定化にも容易に利用されかねません。

翻訳元: https://hackread.com/proxyearth-trace-users-india-mobile-number/

ソース: hackread.com
#2025年サイバーセキュリティ #Aadhaar #KYCデータ #Proxyearth #インドネシア #プライバシー侵害 #モバイル番号 #位置情報追跡 #個人情報漏洩 #国家安全保障

関連記事

次のサイバーセキュリティの課題はAIエージェント認証である可能性がある

ハッカーがフィッシングメールでGlobal Groupランサムウェアをオフライン配信

サイバー攻撃が欧州委員会職員のモバイルシステムを直撃