　米ニューメキシコ大学などの研究チームは今回、約3万の電話番号に送信された3300万通以上のSMSから、32万2000件あまりのURLを抽出して包括的な検証を実施。その結果、177のサービスに関連する701のエンドポイントで、ユーザー情報の流出やアカウント乗っ取りなどの被害を招きかねない脆弱性が見つかったとして、論文投稿サイトのarXivで発表した。

arXivに投稿された論文

他人の情報を参照できてしまう原因は

　このうち125のサービスについては、リンクを受け取った本人以外のユーザーにも連鎖的に影響が及びかねない問題があることが分かった。原因は、推測しやすい、または予測可能なトークン（文字列）がURLに含まれていたことだった。

　例えば特定のユーザーに届いた「https://example.com/ABC12345」というURLで、「ABC12345」の部分を「ABC12346」に入れ替えることで、別のユーザーのアカウントにアクセスできてしまう可能性がある。この問題が原因で、他人の氏名や生年月日、信用スコアといった情報を参照できてしまう保険見積もりサイトもあったという。

　他にも、攻撃者が被害者の情報を改ざんできてしまう問題が15のサービスで確認された他、被害者のアカウントが乗っ取られかねない問題も8サービスで見つかった。この状態で氏名やパスワードなどを改ざんされれば、被害者が自分のアカウントから締め出される恐れもある。

　問題のあるマジックリンクは、保険の見積もりや求人情報、家庭教師の紹介などさまざまなサービスで使われていたといい、論文では米国や英国、香港などの事例を紹介している。

　そのうち18のサービスでは、運営業者が連絡を受けて対策を講じ、少なくとも1億2千万のユーザーが保護されたと研究チームは推測している。一方、大多数の事業者は返答がなく、連絡を取ることができなかったという。

　「SMSは本質的に安全性が低く、メッセージの傍受やデータ漏えいが数多く報告されている。そうしたセキュリティが手薄なチャンネルを過信すれば、不正アクセスや悪用を招きかねない」（研究チーム）

安全なマジックリンクの条件

　ただし、マジックリンク自体が必ずしも危険というわけではない。パスワードを使わないことで、ユーザーによる使い回しの問題や、業者側が安全にパスワードを保存していなかったといった問題を回避できるメリットもある。

　今回の論文を発表した研究者は米メディアのArs Technicaに対して「SMSや電子メールで送信される認証リンクは、リンクの有効期限が短く、最初のログイン後に期限切れになり、暗号学的に安全なトークンが使われている限り、一律に危険というわけではない」とコメントしている。

ドコモ装う不正アプリ「dアップグレード」に注意　d払いの不正利用やパスワード窃取のおそれ
インストールするとスマートフォンがマルウェアに感染し、「d払い」アプリで不正購入が行われたり、クレジットカード情報などが盗まれる可能性があるという。
「7-Zip」非公式サイトに偽インストーラ　マルウェア感染の恐れ　IIJが注意喚起
IIJのセキュリティチーム（SOC）が、圧縮解凍ソフト「7-Zip」の非公式Webサイト「7zip.com」で配布されているインストーラが、不審なファイルをインストールさせるものに変わっていると注意喚起した。
北朝鮮のIT労働者に“おとり捜査”　「面接の身代わり募集」にセキュリティ研究者が応募、明らかになった手口とは
身分を偽装して海外企業で働き、情報や資産を盗もうとする北朝鮮のIT労働者たちに“おとり調査”を仕掛ける──アラブ首長国連邦のセキュリティ企業ANY.RUNが、セキュリティ研究者と共同でこんな取り組みを行った。調査の中で明らかになった、北朝鮮IT労働者の手口とは。
JR九州のグループ会社にサイバー攻撃、従業員など1万4000人以上の情報流出か
氏名、会社付与のメールアドレス、PCのログインIDが含まれていた。
WhatsApp、35億件超の電話番号が無防備に公開状態　毎秒7000件の列挙攻撃に成功　海外チームが報告
オーストリアのウィーン大学などに所属する研究者らは、　世界最大のインスタントメッセージングサービス「WhatsApp」で深刻なプライバシー脆弱性が明らかになった研究報告を発表した。