パスワードを忘れた? アカウント作成
13996073 story
携帯通信

SMSでは簡単に送信元を偽装できる 13

ストーリー by hylom
送信サービスによっては番号も設定できるのかな 部門より

SMSでは容易に送信元を偽装でき、正規の送信元からのメッセージに偽装したメッセージを紛れ込ますことができるという(SMSで送信元を偽装したメッセージを送る)。

SMSでは任意の英数字を送信元として表示するための仕様(Sender ID)があり、これに従ってメッセージを送信するだけで任意の文字列を送信元として指定できるという。また、iOSのメッセージアプリなど、昨今のスマートフォンに搭載されているSMSアプリではチャットのような体裁でメッセージのやり取りを表示するものがあるが、iOSのメッセージアプリではこのSender IDを元にスレッド表示を行うため、正規の送信元からのメッセージと同じSender IDを使用することで、偽装したメッセージがスレッドに混入してしまうという。

こうした行為は「スミッシング」と呼ばれ、今年6月に日本サイバー犯罪対策センターから注意喚起も出されている

なお、SMSを送信する上記の記事で検証に使用したSMS送信サービスTwilioでは電話番号をSender IDに設定することはできないとのこと。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by nnnhhh (47970) on 2019年09月04日 19時04分 (#3680420) 日記

    https://security.srad.jp/comment/3645941 [security.srad.jp]
    によれば
    * システム的に電番は詐称できない
    * SenderIDはやりたい放題
    らしい

    SenderIDを用意した時点で間違いだったんかね

    • by Anonymous Coward on 2019年09月04日 19時27分 (#3680438)

      多要素認証にSMSを使用する場合、SenderIDにはサービス提供業者が公開する、実在する電話番号を入れることが必須?
      それも海外ネットワークを経由したら正当性は担保できないと?

      親コメント
      • by Anonymous Coward

        > 日本国内のネットワークでは、発信元が実在の電話番号の場合、詐称できない(キャリアで廃棄される)仕組みになっているからです。
        > 海外ネットワーク経由は詐称できる場合がありますが、日本国内の電話番号を詐称したSMSは日本国内のネットワークで廃棄されます。
        らしいですから
        * 電番が国内の番号
        * 受けるのも国内
        なら大丈夫なんではないでしょうか

        • by Anonymous Coward

          国民生活センターは電話番号を偽装したものもあったとしているようだけど、どうなんだろう。

          携帯会社の偽メッセージに注意 IDなどだまし取られる被害増
          https://www3.nhk.or.jp/news/html/20190905/k10012065171000.html [nhk.or.jp]

          また、ショートメッセージの中には発信元の名前だけでなく、電話番号まで偽装され、本物の携帯電話会社から届くメッセージと見分けがつかないケースもあったということです。

  • 数年前にAmazon公式とやりとりしたSMSの続きに架空請求も来てましたね。

    しかしAmazonで有料動画サービス見ることはないし、
    プライムビデオですらない動画サービスをAmazonで利用ってなかなか謎な請求内容でしたのでスルー。
    その日の晩にはAmazon騙る架空請求がもう話題になってました。

    --

    ψアレゲな事を真面目にやることこそアレゲだと思う。
  • by Anonymous Coward on 2019年09月04日 19時12分 (#3680425)

    自分で言うのもなんですけど、ワタシ足が納豆のにおいするんです by あなたのランカ
    とシェリルが工作するわけ?

  • by Anonymous Coward on 2019年09月04日 19時32分 (#3680441)

    送信元ドメインは好きなものを書いて送れる。
    まともなサーバなら偽装ドメインに上書きしてメールを転送するが、キャリアは不親切だから回線番号の認証結果と突合しない。

    • by Anonymous Coward

      妄想で文句言うのはいかがなものか

  • by Anonymous Coward on 2019年09月05日 10時45分 (#3680685)

    日本の3大キャリア+それらにのっかるMVNO間だけでも対策してほしい

    • by Anonymous Coward

      発信元が電話番号ではないSMSをすべて破棄するって対策なら可能だけど、それ以外はSMSのシステム的にはできないって問題。

typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...