携帯電話ネットワークの脆弱性を悪用して、テキストメッセージ内のワンタイム 2 要素認証トークンを傍受できることが再び実証されました。
具体的には、世界中のネットワークが相互に通信して通話をルーティングするために使用される Signaling System 7 (SS7) プロトコルにセキュリティ上の欠陥があります。
携帯電話事業者のインフラにアクセスできれば、SS7にはほとんど、あるいは全く安全対策が施されていません。内部不正者であれ、外部から侵入したハッカーであれ、SS7の設備にアクセスできれば、メッセージや通話を自由に転送できます。例えば、モロッコの通信事業者に勤務する者、あるいはその通信事業者に侵入した者は、アメリカの加入者宛てのテキストメッセージをひそかに乗っ取り、受信することが可能です。
米国マサチューセッツ州に拠点を置く情報セキュリティ企業Positive Technologiesは、研究目的で許可を得て通信会社のSS7プラットフォームにアクセスし、今月、被害者のビットコインウォレットを乗っ取る方法を実証しました。まず、標的のGmailアドレスと携帯電話番号を入手しました。次に、ウェブメールアカウントのパスワードリセットを要求し、携帯電話番号にトークンを送信しました。Positiveのチームは、通信会社のSS7を悪用して認証トークンを傍受し、Gmailの受信トレイにアクセスしました。そこから、ユーザーのCoinbaseウォレットのパスワードをリセットし、ログインして仮想通貨を空にすることに成功しました。
被害者に関する最小限の個人情報(名、姓、電話番号のみ)があれば、Google の人物検索サービスから電子メール アドレスを取得し、Coinbase のテスト ウォレットをハッキングするのに十分でした。
今年初め、SS7の前述の脆弱性を悪用したサイバー犯罪者が、ドイツの被害者のオンライン銀行口座にログインし、資金を盗み出しました。サイバー犯罪者は、テレフォニカ・ドイツの顧客に送信されたログイン認証コードを含むテキストメッセージを傍受し、盗んだ情報を使用して不正な取引を実行しました。これは以前の報道の通りです。
不気味なSS7携帯電話のスパイ欠陥が何年も経った今でも修正されていないのはなぜか、国会議員に質問
続きを読む
「SS7特有の機能を悪用することは、SMSを傍受する既存の方法のうちの1つだ」とポジティブ・テクノロジーズの通信セキュリティ部門責任者、ドミトリー・クルバトフ氏は語った。
残念ながら、ワンタイムパスワードの送信にSMSを利用することをオプトアウトすることは依然として不可能です。SMSは最も普遍的で便利な二要素認証技術です。すべての通信事業者は脆弱性を分析し、加入者のセキュリティレベルを体系的に向上させる必要があります。
銀行は使いやすさとセキュリティのバランスを取ろうとしています。テキストメッセージで送信されるトークンは、受信も入力も簡単です。機密性の高いアカウントの場合、SS7ハイジャックが増加すると、携帯電話による認証はリスクが高まります。しかし、携帯電話による認証か二要素認証を全く利用しないかという選択肢がある場合は、セキュリティ上の理由から携帯電話を使用することをお勧めします。あるいは、アプリ、キーフォブ、その他のデバイスから二要素認証を提供するサービスを探すのがさらに良いでしょう。
結局のところ、SS7経由のログイントークンの盗難は依然として稀です。SMSトークンに関する問題の多くは、すべてが盗まれるのではなく、ユーザーが自分の情報にアクセスできなくなることで発生します。
「2FAにSMSを使うのはやめるべきだが、プロバイダーにとって2FAの最大の問題はバイパスではなくアカウントのロックアウトであるということも指摘しておく価値がある」と、セキュリティ研究者で業界誌Virus Bulletinの編集者でもあるMartijn Grooten氏は述べた。
