csrf_xsrfの指摘と修正方法と脆弱性の解説

【日本でも金銭被害】多要素認証への盲信は危険、SIMスワップ詐欺の危険性と対策

投稿日: dhmoカテゴリー: セキュリティ
このエントリーをはてなブックマークに追加
Pocket

SIM乗っ取りに必要な情報はネット上にある。SMSはそもそもアプリから読める情報、認証はログイン機能だけでは守れない

「多要素認証にすれば安心です」いやいや、安心と盲信したところを攻撃者は格好の餌食とします。

SIM乗っ取りに必要な情報は地位が高い人ほど探しやすく狙われます。

例えば、Twitterの創業者のジャック・ドーシーもSIM乗っ取りの被害者です。Twitter アカウントにリンクされている電話番号から 40404 を送信すると、 Cloudhopper 経由してそのテキストが Twitter に投稿されることを悪用され本人の意図しないところで投稿され、大きく信用を毀損することとなりました。

Twitterで発信する機会の多い社会的に地位のある方はダミーの電話番号をTwitterに登録しておくことをお勧めします。

スマホをパスワード・アカウント復帰や決済時の認証の手段に用いている場合はSIM乗っ取りでオンラインバンキングの送金やビットコイン各種ソーシャルアカウントなどが乗っ取られる被害に遭います。ソーシャルログインを行なっている場合は被害はさらに大きくなります。

さてSIM乗っ取りですが、携帯ショップのSIM交換の手続きの脆弱さを狙います。当然本人確認はありますが名前・生年月日・住所、写真月証明書の写真との一致で済んでしまっているところも少なくなくありません。写真のすげ替えでマイナンバー再交付でも指摘される問題ですが、見た目だけの免許証やマイナカードの確認方法が目視チェックでは目視確認では見た目だけ作れば簡単に偽装が達成できてしまいます。免許証やマイナカードにはICチップが入っておりPINコードを元に検証していれば、偽物の製造も容易ではなく設定した簡単には偽装されなくなります。

このように認証はガチガチに頑張っていてもパスワード再設定や紛失時の復帰方法が脆弱なところは多く存在します。携帯ショップで当該の電話番号を架けるぐらいやってくれればリスクは大幅に軽減しますが組織を守るに携帯ショップ任せでは世間を納得させることはできないでしょう。

名前はともかく生年月日・住所ってSNSで公に晒しているような人でなければ問題ないと考えるのは早計です。帝国データバンクのCCR(代表者)情報では、名前・生年月日・住所の情報が確認可能です。自宅など住所が判る写真などからの特定する方法もあります。

社員の私物端末を業務に活用する「BYOD(Bring Your Own Device)」の推進を記事などに書いてアピールをしていた企業もありますが、名刺やE-mailに携帯電話番号を書いているあれば狙われる可能性は十分にあります。社会人向けの勉強会のアンケートなども安易に電話番号など書くとどこでどう悪用されるか分かったものではありません(営業電話がかかって来た経験がある方も多いはず)

関連で、QRコードをすり替えも気を付ける必要があります。本物のアンケートの方にも情報を連携し二人羽織のように偽のアンケートに個人情報を入力させられ情報を盗まれるこの“Qishing”も対策どころか認識すらしていない企業も少なくありません。QRコードを読み取った際にURLが表示され遷移する仕様になっていると思いますが、これはセキュリティの観点からこのような仕様にしている訳ですが、検証・判断する機会を提供している以上責任は利用者にあるというメッセージでもあります。

法人登記は携帯電話でも可能ですが誰でも簡単に調べることができてしまいます。しかし、そもそも携帯番号を変更したり紛失した時に法人登記を登録しなおさなければないため起業するなら固定電話番号を取得し登記にはそちらを使用するようにしましょう。

じゃあ、会社端末を個人でも利用する“BYCD(Bring Your Company’s Device)”にすればいいかと言えば、スパイアプリを仕込まれるリスクが高まるので公私混同はやはりリスクが高いということです。

物理的にSIMカードを抜かれた場合に対応してSIM PINを使ってSIMカードをロックしましょう。設定するとスマホを再起動したときや、SIMカードを別の端末にセットして使おうとしたときにSIM PINの入力が要求されます。初期値はドコモが「0000」、auが「1234」、ソフトバンクが「9999」と極めて脆弱なので8桁の暗証番号でセットしなおしましょう。もちろん生年月日はNGです。

さて色々気を付けるべきところを述べさせて頂きましたが被害を最小化するためのポイントを以下、確認しましょう。

①名刺やメールには代表電話を記載し、必要がある時のみ意図して提供し提供したことをしっかり記録管理する
②法人携帯として契約し、MDMの管理下におき紛失時に直ちにリモートワイプできるようにする、SIM PINを設定する
③登記は固定電話で行い、携帯電話をSNSなどに紐付けない

 

スマホにショートメッセージを送る認証方式が安全でないことは何年も前から指摘されていた。

リモート勤務が広がり社用携帯がより多く配布されることで多要素認証といえばスマホのSMS認証と一つ覚えで思考停止いる企業も少ないないのですが、実は認証のセキュリティを考える上でよく参考にされるNIST SP800-63-3の2016年のドラフト版では「SMSを用いた二要素認証は推奨しない」と記載されていました。

Out-of-band authentication using the PSTN (SMS or voice) is discouraged and is being considered for removal in future editions of this guideline.

2016年の時点で攻撃対象の携帯電話番号に紐付くSIMを攻撃者が管理するSIMに変更することで、攻撃対象の携帯電話に関する情報を窃取する方法が指摘されていました。そもそもSMSはスマホ端末に入っているアプリから読むことが可能な情報です。

Androidであれば「android.permission.RECEIVE_SMS」を許可さえさせてしまえば全てのSMSの内容が読み取れます。許可のリストがインストール時に出ていますが、開発者かよほど慎重な人でないと利用規約同様皆読まずにインストールしてしまうことは容易に想像できます。

これからに向けてSIM乗っ取り対策を強化するためには結局どうすれば良いのか?

被害の最小化ではなく、もっと抜本的な解決策があるかとう点を最後に回答して本記事を締めたいと思います。

✔︎ 重要な手続きはSMSではなく、生体認証( FIDO2 / WebAuthn )やトークンなど他の多要素認証を採用に一つの方法に依存しない。
✔︎ ソーシャルメディアを利用したい場合は携帯電話を別端末にするなど集約しすぎず分散相互監視が効くようにする。

以上です。参考になれば幸いです。