子供のための基本的なサイバーセーフティ
2021年11月9日COMBデータ流出について知っておくべきこと
2021年12月7日
執筆者:Hallie Ayres, Contributing Writer
デジタルメディアのVICEが最近行った調査 によれば、通信インフラに大きな抜け穴が見つかった。調査報道記者のJoseph Cox氏は、ホワイトハッカーの助けを得てSakariと呼ばれる企業向けの大量SMSメッセージサービスについての記事を書いた。ハッカーはこのサービスを利用してCox氏のテキストメッセージを自分のデバイスに送り、Cox氏はメッセージが盗まれたことについてひとつも通知を受け取ることはなかった。すぐに彼はテキストメッセージの受信をやめた。
Sakariは最も安いプランでは16ドルでSMSマーケティングサービスを展開している。顧客はアカウントに紐づける電話番号の入力を求められる。この番号が実際に企業の番号ではなくても、テキストメッセージの送受信に使われる。Sakariは「テキストメッセージや電話番号を利用して違法行為、嫌がらせ、不適切な行為を行わない」という委任状への署名をユーザーに義務付けているが、Sakariはこの同意を確認するための質問をいかなる番号にも送信していない。
ハッカーはプロセスについて次のように説明している。「私はSakariの月額16ドルの料金をプリペイドカードで支払い、委任所にうその情報を入力すると電話番号を盗むことができました」。プリペイドカードの利用によってこうしたハッキングを行う犯罪者を追跡するのがより難しくなる。
ハッカーがひとたび特定の電話番号に送られる全メッセージにアクセスできるようになれば、アクセスの承認を電話番号やコードの送信だけに頼っているようなWhatsAppやPostmatesといったアカウントへのアクセスは簡単に行われてしまう。
ハッキングの未開拓分野
このハッキング手法は、よくあるSIMハイジャック被害とは異なる。なぜなら電話番号を盗まれた人の視点で考えると、彼らの携帯電話に異常は見られないからである。このハッキング手法の別の側面は、携帯電話のキャリアは無関係だということだ。簡単にハッキングが成功してしまったことで、通信インフラの重大な欠陥と商用SNSをめぐる規制の不備が露わになった。
Cox氏がSakariにコンタクトをとった後、同社は新しく登録された電話番号に対して自動で電話をかけてSakariにセキュリティコードを送信させアカウントを有効にするセキュリティ機能を実装した。しかしSakariは氷山の一角だ。Cox氏の情報提供者によれば、プロバイダーから切り離されてもこのハッキング手法が有効な別のサービスを見つけるのに2分しかかからなかったという。
インターネット市民自由組織であるElectronic Frontier Foundation のサイバーセキュリティ担当ディレクターであるEva Galperin氏は、VICE宛ての声明で、この種のハッキングについて次のように述べている。「自分の携帯電話番号を使ってログインすることをやめることの重要性を強調しています。」
結果的にポリシーを変更
3月25日、Cox氏のスクープに対応する形 で、テキストメッセージのルーティングサービスを展開している通信会社Aerialinkは、「通信業者は有効な番号へのSMSやMMSの送信をサポートしなくなります」との見解を示した。新しいプロトコールは「業界に浸透し携帯電話業界における全SMSプロバイダーに影響します」としている。
主要な全ての通信業者だけではなく、提供しているサービスがテキストメッセージを送ることで利用可能になるSakariのような企業の将来も一変するだろう。
通信業界では、ユーザーのデータが悪用されていないか調査するのが一般的だが、ハッカーや詐欺師がサービスを悪用していないか調査することは少ない。Cox氏の記事はこれらの規制における重大な瑕疵を明らかにしたが、慎重な不正調査の結果として意味のある変化にも焦点をあてている。
英文タイトル :A Stolen Text Messages Hack That Only Costs $16
英文記事リンク:https://www.acfeinsights.com/acfe-insights/stolen-text-messages-hack-that-only-costs-16-dollars
原文掲載日:2021年4月22日
翻訳:ACFE JAPAN事務局
※わかりやすさを優先させるため、意訳を行っています。ACFE JAPAN (一般社団法人 日本公認不正検査士協会) 公式の邦訳とは異なる表現を使用している場合があります。