ワイヤード
ここまでで、フィッシング攻撃の特徴について学習しました。誤字脱字だらけのメールには疑いを持ち、疑わしいリンクはクリックせず、メッセージの送信元のドメインを確認してください。
しかし、フィッシング攻撃はメールだけにとどまりません。Googleカレンダーアカウントにも大量のスパムメールが送られています。そして今、研究者たちは、ハッカーがこれを悪用すればフィッシング攻撃の概念を根底から覆すような脆弱性を発見しました。
チェック・ポイントのセキュリティ研究者は、Androidデバイスに脆弱性を発見しました。この脆弱性により、ハッカーがネットワークプロバイダーからのメッセージを装った偽のメッセージを送信することが可能になります。この問題は、Samsung、Huawei、LG、SonyのAndroidスマートフォンに影響を及ぼしました。
研究者らによると、概念実証研究はHuawei P10、LG G6、Sony Xperia XZ Premium、そしてS9を含むSamsungのスマートフォンでテストしたところ、正常に動作したという。この問題はAndroidスマートフォンの最大半数に影響を与えた可能性があると研究者らは述べている。世界中で25億台以上のAndroidデバイスが使用されている。
「SIMカード付きの安価なUSBドングルさえあれば十分です」と、この研究に携わったチェック・ポイントのセキュリティ研究者、スラヴァ・マカヴィーエフ氏は語る。「クライアントプロビジョニング用のSMSメッセージを生成するための無料ソフトウェアツールは数多く存在します。細工したSMSメッセージを送信すれば、世界中のどこの携帯電話でも攻撃できるのです。」
研究者たちは、無線(OTA)プロビジョニングと呼ばれるプロセスの脆弱性を利用して、新しいネットワーク設定のインストールが必要であることを通知する通知を携帯電話に送信することに成功しました。OTAプロビジョニングとは、無線ネットワーク経由でコンテンツをダウンロード・インストールする方法です。携帯電話事業者は通常、MMSメッセージ、プロキシアドレス、メール更新や連絡先・カレンダー同期用のサーバーへの変更をプッシュ通知するためにこの手法を使用しています。
OTAプロビジョニング経由で送信されるアップデートは、Open Mobile Alliance Client Provisioning(OMA CP)と呼ばれる標準規格に基づいて配布されることが多いです。この標準規格は、モバイル業界企業のフォーラムであるOpen Mobile Allianceによって管理されており、ネットワークで使用される基盤となる標準規格の一部を策定しています。Open Mobile Allianceのウェブサイトによると、OMA CPはバージョン1.1です。
「OTAプロビジョニングの本来の主な用途は、通信事業者のMMSサービスセンターのアドレスなど、通信事業者固有の設定を展開することです」と、チェック・ポイントのセキュリティ研究者であるマッカヴィーエフ氏とアルチョム・スクロボフ氏は短い研究論文の中で述べています。「企業もこの機能を利用して、従業員のデバイスにメールサーバーのアドレスなどの設定を展開しています。」
攻撃は実に単純でした。ネットワーク設定の変更を要求するメッセージを送信するには、GSMモデムさえあれば十分です。モデムモードに設定された携帯電話でも、USBドングル版でも構いません。価格はわずか10ドル(8ポンド)ほどです。
セットアップが完了すると、モデムを使ってSMSメッセージを送信し、スクリプトを使ってOMA CPメッセージを作成します。携帯電話の画面には、設定をインストールする必要があるというポップアップが表示されます。ユーザーはインストールするかキャンセルするかの2つの選択肢があります。OTAプロビジョニングによって表示されるプロンプトは、携帯電話のユーザーが信頼してしまいそうなもので、通常のデバイス設定の更新のように見えます。そのため、ユーザーはすぐにインストールをタップします。
チェック・ポイントの研究者によると、「アップデート」をインストールすることで、携帯電話のメール、メッセージ、設定へのアクセスを許可するように設定を変更できる可能性があるという。「フィッシング詐欺のCPメッセージは、特定の受信者を騙すためにカスタマイズされたテキストメッセージを先頭に付けるなど、対象を絞り込むか、受信者の少なくとも一部がCPの信憑性に疑問を抱かずに受け入れるほど騙されやすいと想定して、一斉に送信される」とスクロボフ氏とマッカヴィーエフ氏は述べている。
研究者たちは、Samsung製のスマートフォンでは認証を必要とせずにアップデートメッセージを送信することができました。他のスマートフォンを標的にするには、潜在的な攻撃者が克服すべきもう一つのハードルがあります。OMA CPメッセージの中には、設定の変更にPINが必要なものがあります。研究者たちは、ネットワーク事業者からのメッセージを装い、今後のアップデート用のPINを記載した偽のメッセージを送信することで、このハードルを回避できると述べています。
では、この問題が実際にハッカーに悪用される可能性はどの程度だったのでしょうか?これまでのところ、セキュリティ企業やユーザーからOTAプロビジョニングメッセージに関する報告は寄せられていないため、実際に悪用された可能性は低いと考えられます。そして現在、携帯電話メーカーはシステムを更新し、ネットワーク設定の変更が必要な際にユーザーの承認をより厳しく要求するようにしています。
チェック・ポイント社は、3月にこの問題について携帯電話メーカーに通知し、ほとんどのメーカーがすでに修正プログラムを導入していると述べています。サムスンが5月にリリースしたセキュリティパッチ「SVE-2019-14073」と、LGが7月にリリースしたセキュリティパッチ「LVE-SMP-190006」により、この問題は解決しました。
Huaweiは次期MateシリーズおよびPシリーズのスマートフォンに修正プログラムを組み込む予定だと発表しました。Googleのサービスは搭載されないMate 30は、9月19日に発売予定です。Checkpointによると、コードの欠陥に対処していないのはソニーのみとのことです。影響を受けるすべての企業にコメントを要請しており、詳細が分かり次第、この記事を更新します。
「この調査は、変化する脅威環境における従来の機能実装の一般的な課題を数多く浮き彫りにしています」とソニーの広報担当者は述べています。「ソニーモバイルの実装はOMA CP仕様に準拠していますが、通信事業者が開始するプロビジョニングメッセージの使い勝手に問題があります。エンドユーザーは、不要な設定更新を拒否することで自らを守ることができ、一般的にはオンラインでの安全を確保するためのベストプラクティスに従うことができます。」
[i]2019年8月29日 09:40 BST更新:ソニーからのコメントを追加しました/i]
この記事はWIRED UKで最初に公開されました。
