セキュリティ研究者らは、ショートメッセージサービス(SMS)経由で携帯電話に送信される、巧妙に細工されたテキストメッセージによって、所有者の知らないうちに携帯電話がシャットダウンする可能性があることを明らかにした。ノキア、LG、サムスン、モトローラ、サムスン・エリクソンの人気機種は、研究者らが「SMS-o-Death(SMS死)」と呼ぶこの脆弱性の影響を受けると言われている。
ベルリン工科大学の研究者たちは、ネットワークプロバイダーが携帯電話に送信するデータメッセージを模倣するという単純な手法を用いました。通常、これらのメッセージは特定のプロバイダー向けにデバイスを設定するなどのタスクに使用されますが、簡単に改ざんすることができます。
意外かもしれませんが、この攻撃はスマートフォンではなく、通常の「フィーチャーフォン」を標的としています。フィーチャーフォンと呼ばれるのは、通話に加えて、MP3の再生やウェブブラウジングなど、1つか2つの機能も備えているためです。
フィーチャーフォンはスマートフォンよりも大幅に安価なため、報道ではスマートフォンが最も注目を集めますが、現実世界では世界中の人々の間で最も多く利用されているのはスマートフォンです。そのため、ハッキングの規模は甚大になる可能性があります。
研究者たちは、外部からの信号から遮断された実験室に独自の試験用携帯電話基地局を設置し、これらの発見を成し遂げました。彼らは携帯電話からの通信を監視し、研究対象とした全ての携帯電話モデルを攻撃するメッセージを作成することに成功しました。
個人の携帯電話を攻撃するには、メーカーとモデル名を知る必要があります。しかし、大規模なランダムなサービス拒否攻撃は容易に実行できます。現在市場で最も人気のある携帯電話のモデルを少し調べれば、攻撃者は各携帯電話を標的とした一連のメッセージを、一括テキストメッセージ送信を可能にする様々なインターネットゲートウェイを介して、特定の番号またはランダムな番号に送信できます。この怪しいメッセージを受信した人は、知らないうちに携帯電話の電源が勝手に切れてしまいます。もしハッキングが特定のモデルの携帯電話で機能しなかったとしても、それは単に意味不明なメッセージとして無視されるでしょう。
もちろん、研究者たちはその具体的な方法を秘密にしているが、秘密が漏れてしまった今、ハッカーたちが独自のバージョンを考案するのも時間の問題だろう。
攻撃を阻止するためにできることはほとんどありません。携帯電話のファームウェアを再プログラムすれば、そのようなメッセージをブロックすることは可能ですが、スマートフォンを持っていない人の大多数は、単に携帯電話をアップデートしていません。アップデートが可能であることすら知らない人も多く、アップデートできる人でも、バグのあるソフトウェアにアップデートしてしまうことを恐れてアップデートを避けています。残念ながら、これは非常によくあることです。安価な携帯電話にはUSBケーブルが付属していないことが多く、購入しない限りアップデートが不可能です。
サービスプロバイダーは自社のネットワークからメッセージをフィルタリングできるが、スパムを捕捉するためのフィルタリングソフトウェアは既に導入されていることが多いものの、攻撃に使用されたようなデータメッセージを捕捉する能力は現時点ではない。
幸いなことに、フィーチャーフォンは比較的シンプルなため、ハッキングは電源を切るといった面倒なトリックに限られます。攻撃者が独自のコードをスマートフォンに挿入してデータを盗むことはほぼ不可能です。これは、Apple iPhoneや、おそらくGoogle Androidを搭載したデバイスといった上位機種では可能です。
携帯電話のセキュリティの世界は、最近、不安な状況が続いています。昨年は、わずか1500ドルのハードウェアでGSM方式の携帯電話の通信をハッキングし、攻撃者が通信を盗聴できることが明らかになりました。
「SMS-o-Death」ハッキングの研究者、Nico Golde 氏と Collin Mulliner 氏によるプレゼンテーションのビデオを視聴するには、ここをクリックしてください。
Keir Thomasは前世紀からコンピューティングに関する執筆活動を続けており、近年ではベストセラー書籍を数冊執筆しています。彼について詳しくは http://keirthomas.comをご覧ください 。Twitter のフィードは @keirthomasです 。
