Photo By Shutterstock
FAX番号が分ければ、デジタル複合機を乗っ取ってLANに侵入することができる。FAXがまだまだ現役で活用されている日本企業にとって悪夢のような発表が、米ラスベガスで開催されたDEF CONで行われたのは、つい先月のことだ。セキュリティ・ベンダーであるCheck Point Software Technologiesによって公表されたこの脆弱性は、1980年代に標準化が行われてから変更されていないFAXの通信規格「T.30」が原因とされた。
何十年も前に開発された古い技術では、脆弱性が修正されることなく放置されていることがままある。それは、FAXの通信規格に限ったことではないようだ。
伊藤僑
Free-lance Writer / Editor
IT、ビジネス、ライフスタイル、ガジェット関連を中心に執筆。現代用語辞典imidasでは2000年版より情報セキュリティを担当する。SE/30からのMacユーザー。
ATコマンドを用いてAndroid機器をハッキング
フロリダ大学、ストーニーブルック大学、サムスン・リサーチ・アメリカによる合同研究チームが発見したのは、1980年代に開発された「ATコマンド」を利用してAndroid機器をハッキングできる脆弱性だ。2018年8月にボルティモアを開催されたUSENIX Security Symposiumで公開された。
フロリダ大学、ストーニーブルック大学、サムスン・リサーチ・アメリカによる合同研究チームが、USENIX Security Symposiumで行った発表。
モデムと電話回線を制御するために開発されたATコマンドは、もともとは電話を“かける”、“切る”といった通話のための機能を実現するために使われてきた。しかし、電話回線の用途が拡大し、伝送速度も高速化していくとともに、SMSや3G、LTEといった新たな技術的要素が加わり、スマートフォンの機能を拡張するためのカスタムコマンドなどにも用いられるようになっていった。
そのため、Android端末の開発メーカーは、製品化に向けた試験や調整のためにATコマンドの入力を受け付けるように設定している。その機能は、端末がユーザーの手に渡った後でも生きている場合が多いという。つまり、誰でもUSBポートを介してコマンドを利用できる状態にあるということだ。
カフェやホテル、交通機関など、最近では様々なところでスマートフォンのための充電ポートを手軽に利用できる。だがそこに悪意ある改造が施されていれば、USBケーブルをつないだだけでAndroid端末が乗っ取られたり、データを盗まれたりしてしまう恐れがあるのだ。この攻撃は、Androidの充電モードを利用しても防ぐことは困難とされる。
研究チームによれば、すべてのAndroid端末に脆弱性があるわけではなく、コマンドを受け付けない機種もいくつかあったという。しかし、Android端末を開発しているメーカーは多く、通信キャリアごとに複数のバージョンを用意している場合もある。それらが何世代も続いているのだから、それぞれ脆弱性を検証しパッチなどで対応していくことは容易なことではない。メーカーによってAndroidの実装状況が異なるため、Googleだけで解決できる問題でもないという。
当面の対応策としては、Android端末の充電には自前のモバイルバッテリーを使い、カフェなどの充電ポートは使わないように心がけることが考えられる。
ボイスメールにもハッキング可能な脆弱性が
日本では欧米のように普及することが無かったため、一般ユーザーにはあまり馴染みのない「ボイスメール」だが、このサービスをいまだに利用できる携帯電話は少なくない。
高度なセキュリティ対策が施されているはずの最新の機器なのに、古い技術をベースにしたサービスを実装しているばかりに、そこが脆弱性となってしまっている。この構造は、ATコマンドやFAXの通信規格と同様だ。
セキュリティ・リサーチャーのマーティン・ビゴ氏によれば、特にセキュリティ上の“穴”になっていると言われるのは、ボイスメールで用いられているパスワード/暗証番号だという。ほとんどの端末が、わずか4桁の数字を利用する設定になっており、通信事業者が設定した初期設定のまま使っているユーザーも少なくないのだから、攻撃者がボイスメールのメールボックスに侵入するのは簡単だ。
マーティン・ビゴ氏がDEF CON26で発表した「ボイスメールシステムのハッキングによるオンラインアカウントへの不正アクセス」というレポート。
今どきボイスメールなんて使っている人はほとんどいないのだから、たとえメールボックスに侵入されたとしても、たいした被害を被ることは無い。そう考えがちだが、実は、そこが盲点になっている。
各種のSNSやWebメディア、ショッピングサイトなど、会員制オンラインサービスの多くは、ユーザーがパスワードを忘れてしまった時のために、パスワードをリセットする方法をいくつか用意している。そのひとつが、プロフィール登録時に指定した電話番号にかけて、確認コードを送付するという方法だ。ボイスメールの脆弱性を利用すれば、これを悪用してオンラインサービスのアカウントをハッキングすることが可能になる。
その手口は、まず、ボイスメールのパスワード/暗証番号を上記の方法で盗み、ボイスメールのメールボックスに侵入できるようにする。それから、ターゲットとなるユーザーの携帯電話の電源が切られるまで待ち、そのユーザーの利用するオンラインサービスにアクセス。パスワード/暗証番号を忘れたからと、リセットする手続きを開始し、確認コードの送付方法で“通話”を選ぶ。すると、確認コードを知らせる電話がボイスメールに入って、オンラインサービスのアカウントの乗っ取りができるというわけだ。
この攻撃を防ぐためには、ボイスメールの無効化や、パスワード/暗証番号の強度を上げる、みんなに知られている電話番号をオンラインサービスで使わないなどの方法が考えられる。
今も多くの製品・サービスが利用する古い技術に、ハッキング可能な脆弱性が潜んでいる恐れがあることを覚えておこう。
参考 : Kaspersky ブログ「ボイスメールでオンラインアカウントを乗っ取る方法」
次回の更新は9月26日です。