攻撃者は、モバイル通信規格の論理的欠陥を悪用して、携帯電話に高額の SMS メッセージを強制的に送信させたり、長時間にわたってメッセージを受信できないようにしたりすることができます。
この欠陥は独立系セキュリティ研究者のボグダン・アレク氏によって発見され、同氏は土曜日にルーマニアで開催されたセキュリティ会議「DefCamp」で、この欠陥を悪用する方法を実演した。
アレク氏は、モバイル機器が SIM ツールキットと呼ばれる特別なアプリケーション向けのテキスト メッセージを処理する方法を悪用した。同氏によると、このツールキットはモバイル通信事業者の 90% 以上によって SIM カードにプリロードされているという。
アプリケーションは、クレジットやボイスメールの確認、緊急番号やカスタマー サポートへの通話、さらにはモバイル バンキングの実行などのアクションを実行でき、通常はオペレータの名前が付いたメニューまたはアプリケーションとして電話に表示されます。
SIM ツールキットは特別な形式の SMS メッセージを通じてコマンドを受信できますが、これらのコマンドを正常に実行するには、メッセージ ヘッダーに有効なデジタル署名が含まれている必要があります。
彼によると、ほとんどの携帯電話はSIMツールキットのメッセージを受信しても通知を表示しない。スリープ状態から復帰するものもあるが、受信トレイにメッセージが表示されず、メッセージを受信したことを示す他の表示も表示されない。
メッセージの真正性を検証するために使用されている暗号化は非常に堅牢で、解読不可能だとアレキュ氏は述べた。その代わりに、彼の攻撃は、携帯電話が正当なコマンドを実行するのではなく、自動的にエラーメッセージを返すことを利用して行われている。
エラー返信は自動的に送信されます。一部の携帯電話では、メッセージが送信されていることが確認できますが、通常は停止できません。
Alecu氏は、様々なメーカーの携帯電話でこの脆弱性をテストしました。SIMツールキットのレスポンス送信を確認するオプションは、Nokia製の端末にのみ搭載されています。「SIMサービスアクションの確認」オプションは、特に通信事業者が設定した端末では、通常デフォルトでオフになっています。
彼は、ハイテク・コンピュータ(HTC)とサムスン電子の標準Androidファームウェアを搭載したスマートフォン、そして人気のモバイルOSのコミュニティビルド版であるCyanogenModを搭載したLG Optimus Oneをテストした。SIMツールキットの応答を送信する際に通知が表示されなかったのはどの機種でもなく、応答をブロックするオプションも見つからなかった。
BlackBerryデバイスでも同様の動作が見られたと彼は述べた。
Windows Mobile 6.xデバイスとiPhoneは、メッセージが送信されていることをユーザーに通知しましたが、それを停止する方法はありませんでした。アレキュ氏はまだWindows Phone 7デバイスをテストしていませんでした。
Alecu 氏によると、SIM ツールキットのサービス メッセージの送信者は、携帯電話が SMS 経由で送信者の番号に直接返信するか、オペレーターのメッセージ センターに返信するように要求できます。
詐欺師の攻撃方法
これら2つの選択肢によって、2つの異なる攻撃シナリオが生じると彼は述べた。
送信者への返信オプション(SMS-SUBMIT)の場合、攻撃者はSMSスプーフィングサービスを利用して、エラーメッセージを有料電話番号に強制的に送信させる可能性があります。SMSスプーフィングとは、テキストメッセージの発信元番号を送信者が望む任意の番号に変更する行為です。これは正当な目的だけでなく悪意のある目的にも利用され、少額の料金でこの機能を提供するオンラインサービスも数多く存在します。
一部の携帯電話事業者は、プレミアム料金の番号の設定に関して厳しい規則を設けています。申請者は、登録済みの事業者であることを証明し、番号の使用方法に関する情報を提供するよう求められる場合があります。
送信者に課金するためにメッセージに含める必要があるテキスト文字列に制限を設けることもできます。これにより、攻撃者は自動応答の内容を制御できないため、この攻撃が制限されます。
しかし、既存の SMS 詐欺の数と多様性は、プレミアム料金の番号を入手するのはそれほど難しくないことを証明しています。
2 番目のオプション (SMS-DELIVER-REPORT) を使用すると、エラーはオペレータのメッセージ センターに送信され、メッセージ配信の失敗として解釈されます。
電話機の電源がオフになっているか、サービスエリア外にあるなどの理由でメッセージを配信できない場合、通信事業者は通常、数分ごとに、事前に定義された時間間隔で未配信メッセージの再送信を試みます。この場合、その番号宛ての以降のメッセージはすべてキューに入れられ、電話機がネットワークに再接続した際に配信されます。
偽の SIM Tookit メッセージを受信すると常にエラー応答が返されるため、メッセージ センターと電話機の間にループが作成され、加入者は正当なメッセージを受信できなくなります。
このサービス拒否(DoS)状態は永続的なものではなく、しばらくすると(通常24時間後)、未配信のメッセージは自動的に破棄されます。しかし、攻撃者が7つの偽のSIMツールキットメッセージを連続して送信した場合、メッセージセンターは各メッセージを24時間配信しようと試みるため、1週間にわたるSMS DoS攻撃が発生します。
欠陥が明らかに
アレキュ氏は、ルーマニア、ブルガリア、オーストリア、ドイツ、フランスの複数の通信事業者のSIMカードに対する攻撃を実演しました。しかし、これらの攻撃はGSM規格およびそれ以降のモバイル規格の論理的な欠陥を悪用しているため、SIMツールキットを使用する通信事業者の大多数が影響を受けるとアレキュ氏は考えています。
攻撃の軽減は、通信事業者とデバイスの両方のレベルで可能です。通信事業者はSIMツールキットのメッセージをフィルタリングし、送信を許可する番号を制限することができます。これは優れた解決策ですが、Alecu社はまだこれを実装した通信事業者を見つけていません。
携帯電話メーカーは、自社のソフトウェアからSIM操作の確認を強制できる可能性があります。しかし、この修正は通信事業者レベルでのメッセージフィルタリングほど効果的ではないだろうとアレキュ氏は述べています。ファームウェアのアップデートは、特に古い携帯電話では必ずしも簡単にインストールできるとは限りません。ファームウェアのアップグレードを誤った方法で実行すると、デバイスが使用不能になり、影響を受ける携帯電話の多くはサポート終了になる可能性もあります。
アレキュ氏によると、米国コンピュータ緊急事態対策チーム(US-CERT)は2010年8月にこの問題の報告を受け、情報開示プロセスの調整を依頼されたという。また、リサーチ・イン・モーション(RIM)からも連絡があり、修正に取り組んでいるという。
「当社はこれらの主張を認識しており、調査中です」とノキアの広報担当者トミ・クッペロマキ氏は述べた。サムスン、HTC、RIM、アップルはコメント要請に応じなかった。
