電話網を支えるSS7プロトコルの脆弱性、悪用例が発覚
全世界で使われている電話網プロトコルSS7(共通線信号No.7)については、以前から脆弱性が知られており、かつて米議会でもTed Lieu議員が追及し、さらに同議員のアカウントを(もちろん本人の同意のもと)使った実験をテレビ番組「60 Minutes」が扱ったこともありました。
そして、この脆弱性を利用した銀行アカウントのハッキングが「実際に」起こっていることが判明しました。
「2要素認証で守られた銀行アカウント、SS7プロトコルの悪用で漏洩」
独Süddeutsche Zeitung紙の記事が最初に報じた模様です。
これは、予めマルウェアでパスワードを盗んだ状態からスタートします。パスワードで銀行側にログインし、送金を指示すると、2要素認証が求められるのですが、そこでSS7の脆弱性をついてSMSを横取りし、送金を完了するというわけです。ちなみに従来は被害者の携帯電話のSIMカードを複製してSMSを盗み出していたのだとか。
SMSを使った2要素認証は、近年強く推奨されてきましたが、SS7の脆弱性を含めて問題点があることも知られています。
米NISTの案では「セキュアな認証用アプリ」「生体認証」が挙げられていますが、その他にもYubiKeyなどのハードウェアの利用も考慮に値するでしょう。