SMSでは簡単に送信元を偽装できる 13
ストーリー by hylom
送信サービスによっては番号も設定できるのかな 部門より
送信サービスによっては番号も設定できるのかな 部門より
SMSでは容易に送信元を偽装でき、正規の送信元からのメッセージに偽装したメッセージを紛れ込ますことができるという(SMSで送信元を偽装したメッセージを送る)。
SMSでは任意の英数字を送信元として表示するための仕様(Sender ID)があり、これに従ってメッセージを送信するだけで任意の文字列を送信元として指定できるという。また、iOSのメッセージアプリなど、昨今のスマートフォンに搭載されているSMSアプリではチャットのような体裁でメッセージのやり取りを表示するものがあるが、iOSのメッセージアプリではこのSender IDを元にスレッド表示を行うため、正規の送信元からのメッセージと同じSender IDを使用することで、偽装したメッセージがスレッドに混入してしまうという。
こうした行為は「スミッシング」と呼ばれ、今年6月に日本サイバー犯罪対策センターから注意喚起も出されている、
なお、SMSを送信する上記の記事で検証に使用したSMS送信サービスTwilioでは電話番号をSender IDに設定することはできないとのこと。
こないだこれのストーリーあったな (スコア:4, 参考になる)
https://security.srad.jp/comment/3645941 [security.srad.jp]
によれば
* システム的に電番は詐称できない
* SenderIDはやりたい放題
らしい
SenderIDを用意した時点で間違いだったんかね
Re:こないだこれのストーリーあったな (スコア:1)
多要素認証にSMSを使用する場合、SenderIDにはサービス提供業者が公開する、実在する電話番号を入れることが必須?
それも海外ネットワークを経由したら正当性は担保できないと?
Re: (スコア:0)
> 日本国内のネットワークでは、発信元が実在の電話番号の場合、詐称できない(キャリアで廃棄される)仕組みになっているからです。
> 海外ネットワーク経由は詐称できる場合がありますが、日本国内の電話番号を詐称したSMSは日本国内のネットワークで廃棄されます。
らしいですから
* 電番が国内の番号
* 受けるのも国内
なら大丈夫なんではないでしょうか
Re: (スコア:0)
国民生活センターは電話番号を偽装したものもあったとしているようだけど、どうなんだろう。
携帯会社の偽メッセージに注意 IDなどだまし取られる被害増
https://www3.nhk.or.jp/news/html/20190905/k10012065171000.html [nhk.or.jp]
また、ショートメッセージの中には発信元の名前だけでなく、電話番号まで偽装され、本物の携帯電話会社から届くメッセージと見分けがつかないケースもあったということです。
Amazonであったっけなー (スコア:1)
数年前にAmazon公式とやりとりしたSMSの続きに架空請求も来てましたね。
しかしAmazonで有料動画サービス見ることはないし、
プライムビデオですらない動画サービスをAmazonで利用ってなかなか謎な請求内容でしたのでスルー。
その日の晩にはAmazon騙る架空請求がもう話題になってました。
ψアレゲな事を真面目にやることこそアレゲだと思う。
こんな感じ? (スコア:0)
自分で言うのもなんですけど、ワタシ足が納豆のにおいするんです by あなたのランカ
とシェリルが工作するわけ?
Re:こんな感じ? (スコア:1)
パイパー・ルウを掲げながら?
Re: (スコア:0)
納豆好きならポジティブな工作だが..,
Re: (スコア:0)
スターライト納豆の売り上げ10倍増
メールのFromと同じってことだろ? (スコア:0, 荒らし)
送信元ドメインは好きなものを書いて送れる。
まともなサーバなら偽装ドメインに上書きしてメールを転送するが、キャリアは不親切だから回線番号の認証結果と突合しない。
Re: (スコア:0)
妄想で文句言うのはいかがなものか
日本だけでも対策を (スコア:0)
日本の3大キャリア+それらにのっかるMVNO間だけでも対策してほしい
Re: (スコア:0)
発信元が電話番号ではないSMSをすべて破棄するって対策なら可能だけど、それ以外はSMSのシステム的にはできないって問題。