SMSテキストメッセージは、Appleやその象徴的なスマートフォンiPhoneに限ったものではありません。しかし、どうやらAppleのSMSメッセージの配信方法には独特の何かがあり、iPhoneはスプーフィングやスミッシング(SMSフィッシング)攻撃に対して特に脆弱になっているようです。
iOSセキュリティ研究者が、この発見の詳細をブログ記事で発表しました。SMSテキストメッセージが送信される際、ヘッダー情報の一部にはメッセージの送信元となる実際の電話番号が含まれます。ただし、UDH(ユーザーデータヘッダー)と呼ばれるオプションのヘッダーもあり、これを使用することで、別の返信先アドレスを入力できます。
一部のモバイルプラットフォームでは、発信元の電話番号と返信先フィールドの情報の両方が表示され、両者が異なる場合に受信者に何らかの警告を発することを期待しています。AppleのiOSでは、返信先フィールドに指定されたアドレスのみを表示し、返信します。
なぜそれが問題なのでしょうか?それは、もし攻撃者があなたの金融機関、母親、あるいは上司の電話番号を知っていたら、その番号から発信されたように見せかけたテキストメッセージをあなたのiPhoneに送信する可能性があるからです。iPhoneでは、SMSテキストメッセージは正当な送信元から送信されたように見えるため、あなたは返信したり、普段は共有しないような機密情報の要求に応じたりする可能性がはるかに高くなります。
Appleは、セキュリティ上の欠陥に関してEngadgetに対し、次のような声明で回答した。
Appleはセキュリティを非常に重視しています。SMSの代わりにiMessageを使用すると、アドレスが検証されるため、このようななりすまし攻撃から保護されます。SMSの限界の一つは、偽装されたアドレスであらゆる携帯電話にメッセージを送信できることです。そのため、SMS経由で未知のウェブサイトやアドレスに誘導された場合は、お客様には十分にご注意ください。
この「解決策」の問題点は、iMessageがiOSデバイス間でしか機能しないことです。つまり、テキストメッセージの送受信相手が全員、iPhone、iPad、またはMac OS Xを使っていない限り、iMessageは実際には現実的な解決策とは言えません。
この欠陥を明らかにしたセキュリティ研究者は、ブログ記事の最後に「今こそ警告です。iPhoneで受信したSMSは、一目見ただけでは絶対に信じないでください」と締めくくっています。
それは妥当なようですが、メッセージが本物かどうかを判断するために使用できる要素は他にもあります。まず、iPhoneの連絡先に登録されていない人からメッセージを受け取った場合、通常、「お母さん」ではなく発信元の電話番号が表示されます。前述のように、あなたのお母さんの携帯電話番号を知っている攻撃者は、あなたのお母さんからのふりをしたメッセージを送信できる可能性がありますが、別の番号からのふりをしたメッセージは、たとえメッセージがあなたのお母さんからのふりをしていたとしても、電話番号そのものとして表示されるはずです。
第二に、ここでも常識が働くべきです。親友とスポーツや政治、あるいは次の週末の予定について定期的にメッセージをやり取りしているのに、「このリンクをクリック」とだけ書かれたメッセージが届いたら、疑うべきです。もしあなたのお母さんがテキストメッセージについてほとんど知らず、SMSをほとんど使わないのに、突然お金を要求するメッセージが届いたら、何かおかしいと気づくはずです。
SMSは優れたツールですが、最も安全なツールとは言えません。AppleのSMS実装は他のモバイルプラットフォームよりもなりすましの危険性が高いかもしれませんが、どのプラットフォームであっても、SMSメッセージでリンクをクリックしたり、機密情報を共有したりする際に慎重に検討する必要があります。
スマートフォンがますます普及するにつれ、攻撃者は脆弱性を見つけ出し、それを悪用する方法を模索し続けるでしょう。iOSは今のところ他のスマートフォンOSと比較して比較的安全ですが、決して完璧ではありません。攻撃者がスマートフォンやタブレットを標的とする攻撃をますます積極的に行うようになるにつれ、デバイス間のセキュリティ対策の必要性はますます高まっていくでしょう。
