ヤバいデモで会場沸かす ~ SMS で 2FA 迂回する「Smishsmash」 | ScanNetSecurity
2024.03.19(火)

ヤバいデモで会場沸かす ~ SMS で 2FA 迂回する「Smishsmash」

 「Smishsmash」とは、SMSを利用した2FAをバイパスする攻撃手法のこと。セキュリティの専門家でありハッカーでもあるトーマス・オロフソン氏、マイケル・ビストロム氏が命名した。

研修・セミナー・カンファレンス
(イメージ画像)
  • (イメージ画像)
  • 左:トーマス・オロフソン氏・右:マイケル・バイストロム氏
  • Smishsmash:Blackhat USA 2022
  • ダウンロード可能なダンプファイルの数々
  • ランサムウェアの被害者(身代金を払わなかった)リスト
  • 入手したダンプファイルから標的の電話番号を調べる
  • Smishsmash:Blackhat USA 2022
  • SMSはどうして生まれたのか?

 「Smishsmash」とは、SMS を利用した 2FA をバイパスする攻撃手法のこと。セキュリティの専門家でありハッカーでもあるトーマス・オロフソン氏、マイケル・ビストロム氏が命名した。

 OSINT による標的のアカウント情報や電話番号によって、スミッシング(スマートフォンの SMS を利用したフィッシング)を行う攻撃のことだ。攻撃にはバーナーフォン(通信会社が通信記録を解析しても足がつきにくい使い捨て端末)が用いられる。

 昨夏開催された BlackHat USA 2022 で、トーマスとマイケルによる Smishsmash の攻撃デモが実演されるセッションがあった。BlackHat の Breifingsは、DEFCON よりもフォーマルなものが多くモデレートされているが、BlackHat でもハッキングデモの発表は行われる。このふたりの講演がまさにそれだった。

■SMSの2FAは終わった

 プレゼンでは、トークのメインはトーマスが担う。インテルオタクでプロセッサを集めるのが趣味というマイケルは主にハッキングデモ担当だ。マイケルはバーナーフォンとしてソニーエリクソンの古い端末とノキア N900 をデモのために用意した。ハッキングに愛用していた人も多いのではないだろうか。現在は入手困難な端末だが「安心してほしい。本日のデモは最新のスマートフォンでも問題なく機能する」とはトーマスの弁だ。彼のトークは続く。

 「たぶんみんなは面倒な話は聞きたくないだろう。今回の発表をわかりやすく言うと、“SMS による 2FA 認証は終わった” ということだ。もちろん SMS の詐称は造作もないことはみんなも知っている。だが、スミッシングはいまでも有効なんだ。


《中尾 真二( Shinji Nakao )》

編集部おすすめの記事

特集

研修・セミナー・カンファレンス アクセスランキング

  1. サイバー攻撃 はじまりはいつも OSINT ~ 日本ハッカー協会 杉浦氏講演

    サイバー攻撃 はじまりはいつも OSINT ~ 日本ハッカー協会 杉浦氏講演

  2. パナソニック他 大手が続々「Cloudbase」を採用、日本人が日本企業のために作るクラウドセキュリティプラットフォーム

    パナソニック他 大手が続々「Cloudbase」を採用、日本人が日本企業のために作るクラウドセキュリティプラットフォーム

  3. フィッシング対策協議会、Google と 米Yahoo の送信者向けガイドライン解説資料ほか 公開

    フィッシング対策協議会、Google と 米Yahoo の送信者向けガイドライン解説資料ほか 公開

  4. 「10年後の予測より今足元にある課題解決」~ 情シス信頼のブランド ソリトンシステムズ Security Days Spring 2024 四講演紹介

  5. 新しい総務省ガイドラインに適合する「クラウドのデータ消去」とは? 自治体で行われた実証実験 結果報告

  6. Google & 米Yahoo! の迷惑メール対策強化について~ JPAAWG 緊急ウェビナーで喫緊課題への具体的な疑問が続出

  7. TwoFive「NTTドコモに聞く DMARCのメリットとは」12/20 開催

  8. ソリトンシステムズ「準備はできている」~多要素認証ニーズの変化はサプライチェーンリスク対策

  9. パロアルトネットワークスが提案する「次世代 SOC」「次世代 SIEM」とは?

  10. ビジネス OSINT とは何か? 経営に正しく役立てる方法 ~ 日本ハッカー協会 代表理事 杉浦氏講演

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×