電話番号を使ってFacebookアカウントをハッキング

『Security Affairs』

July 8, 2016 15:00
by 『Security Affairs』

電話番号を知ればFacebookアカウントをハッキングすることができるということをPositive Technologiesの専門家らが実証した。

「電話番号と、SS7ネットワークを悪用するためのちょっとしたハッキングスキルだけでFacebookアカウントを乗っ取ることができると研究者らが証明した。SS7ネットワークは電気通信インフラの中核部だが、ここ5年ほどの間にたびたび脆弱であることが明らかとなっている」とForbesが公開したブログで報じられた

ハッカーがSS7プロトコルの欠陥を悪用すると、被害者の電話番号を知っているだけでFacebookアカウントをハッキングできる。この技術は、ソーシャルネットワークの巨人が実施するどのセキュリティ対策をも回避することができる。

SS7は1970年代後半以降ずっと電気通信に使用されているプロトコル一式で、データを毀損させることなく円滑に送信することができる。

犯罪者やテロリスト、諜報機関が通信を傍受するために、SS7の信号システムにおけるセキュリティ問題を悪用する可能性がある。携帯電話の通信キャリアは、SS7プロトコルのおかげで携帯電話の中継塔からユーザーのデバイスに関連する位置情報を収集し、これを他のキャリアと共有することができる。つまり、SS7を悪用すれば、顧客がどこにいてもその場所をキャリアが見つけることができるということだ。

Positive Technologiesの研究者チームはこれと同様に、SS7プロトコルを利用してWhatsAppとTelegramのアカウントをハックする方法を最近披露している。

Positive Technologiesの専門家が考案した攻撃手法は、GmailやTwitterを含め、ユーザーアカウント認証にSMSを用いるどんなサービスにも作用する。

Facebookアカウントのハッキングは現実的なものだ。攻撃者はまずFacebookのホームページの「アカウントを忘れた場合」のリンクをクリックし、手順に従う必要がある。この時点で標的のアカウントの電話番号やメールアドレスを求められるので、ハッカーは正しい電話番号を入力する必要がある。

ここで攻撃者はSS7の脆弱性を悪用し、標的のFacebookアカウントにログインするのに使用するワンタイムパスワード(OTP)が記載されたSMSを横取りすることができる。

研究者が公開した概念実証動画を見てみよう。

Facebookアカウントの乗っ取りは、ユーザーが電話番号を登録し、Facebookテキストを使用していた場合のみ有効である。

Facebookアカウントを保護するためには、電話番号とソーシャルメディアのサイトをリンクさせず、代わりに復元プロセスにはメールを用いたほうが良い。常に、パスワードを受信するのにSMSテキストではなくメールを使用した2要素認証を有効にしておくことだ。
 
翻訳:編集部
原文:Hacking Facebook Accounts with just a phone number through the SS7 protocol
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…