アイルランドは住民にコロナウイルスに関する情報を提供し続けようとしたが、3月に隣国イギリスが経験したのと同じ基本的なSMSの脆弱性に陥った。
Lulzsec 出身のセキュリティ コンサルタント、ジェイク デイビス氏は、アイルランド政府がなりすましに弱い SMS 送信者名を使用していると推測しています。そのプロセスは単純明快ですが、その方法については説明しません。
エメラルド島へ飛行機で渡航する人は、携帯電話番号を含む連絡先を入国管理局職員に伝える必要があります。その番号には、「gov ie」からテキストメッセージが送信され、COVID-19の症状が出た場合に医師に連絡して公衆衛生アドバイスを受ける方法が記載されています。「かなり標準的で責任ある対応です」とデイビス氏はコメントしました。
彼の見解では、「標準的で責任ある」行為ではなかったのは、アイルランドのモバイルネットワークが送信者名を他者が再利用することを全くブロックしていなかったことだ。彼はこう振り返る。「ダレン(マーティン、情報セキュリティ研究者)が『ちょっと待って、この送信者からちょっと偽装したテキストを送ってみてくれないか?』と言った時、すぐに『基本的なSMSのトリックでは絶対にうまくいかない』と思いました。」
結果は次の通りです:
これら2つのメッセージのうち1つはアイルランド政府から送信されたものだが、どちらも同じ送信者から送信されたようだ。
今年初め、英国政府も短期間、同じことをやろうとしたが、デイビス氏は当時(当方が報じたように)これは「学校の校庭」レベルの悪用だとブログに書いていた。
アイルランドの場合、デイビス氏は地元当局に警告した後、自身のブログを通じてエル・レグと世界中に調査結果を公表した。
接触者追跡のなりすましはすでに行われている。そして、それは危険なほど簡単だ。
続きを読む
デイビス氏は、英国当局に対し、携帯電話による大量メッセージ配信技術(「より高速で、より安価で、安全かつ確実に99パーセントの携帯電話に届く」)への投資を求めたほか、一般の政府に対し、「事前に既知のSMS APIプロバイダーや地元の携帯電話会社と連携し、重要なテキストメッセージを送信する名前や番号を知らせる」とともに、それらの送信者の名前や番号が他人に使用されないようにブロックするよう求めた。
これがデフォルトでは行われていないことを知ると、一部の読者は驚くかもしれません。そのため、悪質なテレマーケティング詐欺師は、実際には割り当てられていない電話番号から電話をかけているように見せかけることができるのです。
UK.gov の最初の大量テキスト メッセージ キャンペーンが始まった 3 月に報告したように、SMS セル ブロードキャストは 2010 年代初頭に試行されましたが、当初の有望な試行は失敗に終わり、2014 年以降は進展がありません [PDF]。
標準的なフィッシング対策のアドバイスは、迷惑メッセージに含まれるリンクをクリックしたり、電話番号にダイヤルしたりしないことです。このアドバイスは、英国政府とNHSがまさにこれらの手法を使って公衆衛生メッセージを放送しようと必死になっているにもかかわらず、今日でも有効です。®
