Apple はテキストメッセージ送信者に対して、「SMS を信用しないでください」というメッセージを送っています。
家電大手は、メッセージの安全性を懸念するiPhoneユーザーに対し、携帯電話会社のSMSネットワークではなく、同社のiMessageサービスを使用するようアドバイスした。
SMS は比較的成熟した技術ですが、近年ではスマートフォンへの攻撃ベクトルとしてセキュリティ研究者の関心を集めています。
有名なiPhoneのジェイルブレイク(脱獄)アーティストが、モバイルOS「iOS」におけるSMSの実装の「欠陥」を利用してSMSメッセージを偽装できるとインターネット上の投稿で説明したことを受けて、Appleは土曜日の声明でこの勧告を行った。
pod2gとして知られるセキュリティ研究者によると、この欠陥は、次期OSの最新ベータ版であるバージョン6.0、ベータ4を含む、iOSの全バージョンに存在するという。
「Appleはセキュリティを非常に重視しています」と同社は声明で述べています。「SMSの代わりにiMessageを使用する場合、アドレスが検証されるため、このようななりすまし攻撃から保護されます。」
「SMSの限界の一つは、偽装したアドレスを使ってどの電話にもメッセージを送信できることです。そのため、SMS経由で知らないウェブサイトやアドレスに誘導された場合は、お客様には十分に注意するようお願いいたします」と付け加えている。
Pod2g は、SMS の欠陥により、メッセージの送信者が「送信元」行に表示されているアドレスとは異なるアドレスを返信行に入力できるようになると説明しています。
Lookout Mobile Securityのシニアセキュリティ製品マネージャー、デレク・ハリデイ氏によると、このようなメッセージの作成には高度な技術は必要ないという。「pod2gで記述されているヘッダーを持つメッセージを作成するのは比較的簡単です」と、同氏はPCWorldに語った。
iOSは「返信先」行の情報を使ってメッセージの送信元を特定するため、送信者はメッセージを受信者が信頼する人物から送信されたかのように見せかけることができます。送信者が受信者の信頼を得ると、メッセージ内の悪意のあるリンクを通じて受信者をウェブサイトへ誘導し、機密情報を盗み出すことができます。
SMSの問題に対する簡単な解決策は、iOSでメッセージの元のアドレスと「返信先」のアドレスの両方を表示することです。そうすれば、2つのアドレスが一致しない場合、受信者はフィッシングの兆候を察知し、適切な対策を講じることができます。
ウェブ上には、spoofsms.net や spooftexting.com など、卑劣な人やいたずらをする人向けのサイトが数多くあるが、smsspoofing.com というウェブサイトによると、米国でのなりすましは他の国ほど簡単ではないようだ。
「私たちのテストによると、米国はおそらくテキストメッセージの偽装が最も難しい国です」と報告書は述べている。「偽装されたSMSが米国やカナダの携帯電話にきちんと届いた例はまだありません。」
「技術的な理由は不明だが、通信事業者はこれを避けるような対策を講じているようだ」と付け加えた。
フリーランスのテクノロジーライター John P. Mello Jr. と Today@PCWorld を Twitter でフォローしてください。
