SMSを送って相手の位置を特定するサイバー攻撃 スマホ持つ全ユーザーに到達可能 米研究者らが開発:Innovative Tech
米ノースイースタン大学などに所属する研究者らは、SMS(Short Message Service)を送ることで相手のスマートフォンの位置を特定するサイドチャネル攻撃を提案した研究報告を発表した。
Innovative Tech:
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。
Twitter: @shiropen2
米ノースイースタン大学などに所属する研究者らが発表した論文「Freaky Leaky SMS: Extracting User Locations by Analyzing SMS Timings」は、SMS(Short Message Service)を送ることで相手のスマートフォンの位置を特定するサイドチャネル攻撃を提案した研究報告である。攻撃者は、ユーザーのスマートフォンに複数のテキストメッセージを送信する。ユーザーの自動配信の返信のタイミングによって、ユーザーの位置を三角測量で特定できる。
攻撃は、SMSの送信者がネットワークを介してSMSを送った後に、送信者に送り返されるSMSデリバリーレポートを利用して行われる。送信者はこれらのレポートを要求でき、受信者がそれを防ぐ方法はない。
具体的な仕組みとしては、SMSを送信してから対応するデリバリーレポートを受信するまでの返答時間(ラウンドトリップタイム)を測定することで、ターゲットとなる受信者のさまざまなロケーションを識別し、トレーニングフェーズの後にそのロケーションエリアを決定できる。
トレーニングデータセットを作成するために、3大陸、9カ国、10事業者のデリバリーレポートのタイミング測定を収集する大規模なタスクを実施した。このタスクでは、デバイス間でSMSメッセージを送信し、複数の国、異なるセットアップ内およびセットアップ間で、デリバリーレポートの返答時間を測定した。
収集した測定値を使用して、位置推測攻撃の性能を評価した。実験の結果、近隣の国では最大75%、遠くの国では最大96%の正確さで位置を特定できることを示した。また、ドイツやオランダ、ベルギーなどの国内あるいは特定の地域内では、多くの場合において70%以上の正確さを達成した。
この攻撃は、スマートフォン端末を所有し、ネットワーク事業者に加入している全てのユーザーに到達可能である。これは、敵対者がターゲットのいつもの場所から測定値を収集するために被害者の電話番号のみを必要とするため、広範囲に影響を及ぼし、実用性が高い攻撃といえる。
コードはGitHubで公開される予定。
Source and Image Credits: Bitsikas, Evangelos, Theodor Schnitzler, Christina Popper, and Aanjhan Ranganathan. “Freaky Leaky SMS: Extracting User Locations by Analyzing SMS Timings.” arXiv preprint arXiv:2306.07695(2023).
関連記事
- 「マルウェア入り画像」で生成AIにサイバー攻撃 入力すると回答結果をハック、悪意サイトへの誘導も
米Cornell Techに所属する研究者らは、画像や音声に悪意あるプロンプトを含ませたプロンプト・インジェクション(生成AIに対しての攻撃)を提案した研究報告を発表した。 - 自動音声の詐欺電話、国民生活センターが注意喚起 NTTファイナンスなどかたる
国民生活センターは14日、自動音声の電話がかかってきて身に覚えのない未納料金を請求される詐欺の相談が多く寄せられているとして注意喚起した。 - ChatGPTでフィッシングサイトを自動検出する方法 NTTセキュリティが開発 精度は98%以上
NTTセキュリティ・ジャパンに所属する研究者らは、ChatGPTでフィッシングサイトを検出する手法を提案した研究報告を発表した。 - “他人が仕込んだ”隠しカメラをこっそり盗み見るサイバー攻撃 カメラのシリアル番号だけで遠隔操作
英国のウォーリック大学に所属する研究者らは、誰かが仕込んだ隠しカメラを遠隔から盗聴できる攻撃を提案し、隠しカメラの脆弱性を指摘した研究報告を発表した。 - サーバダウンはなぜ起きる? AWSやMicrosoftでも発生、原因と対策は
クラウド最大手の米Amazon Web Services(AWS)や「Microsoft 365」では6月、サーバがダウンしてサービスが一時的に使えなくなる障害が発生した。AmazonやMicrosoftのような最先端企業でさえも防ぎ切れないサーバダウンは、なぜ起きるのか。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.