電話番号を使ってFacebookアカウントをハッキング

July 8, 2016 15:00
by 『Security Affairs』

電話番号を知ればFacebookアカウントをハッキングすることができるということをPositive Technologiesの専門家らが実証した。

「電話番号と、SS7ネットワークを悪用するためのちょっとしたハッキングスキルだけでFacebookアカウントを乗っ取ることができると研究者らが証明した。SS7ネットワークは電気通信インフラの中核部だが、ここ5年ほどの間にたびたび脆弱であることが明らかとなっている」とForbesが公開したブログで報じられた。

ハッカーがSS7プロトコルの欠陥を悪用すると、被害者の電話番号を知っているだけでFacebookアカウントをハッキングできる。この技術は、ソーシャルネットワークの巨人が実施するどのセキュリティ対策をも回避することができる。

SS7は1970年代後半以降ずっと電気通信に使用されているプロトコル一式で、データを毀損させることなく円滑に送信することができる。

犯罪者やテロリスト、諜報機関が通信を傍受するために、SS７の信号システムにおけるセキュリティ問題を悪用する可能性がある。携帯電話の通信キャリアは、SS7プロトコルのおかげで携帯電話の中継塔からユーザーのデバイスに関連する位置情報を収集し、これを他のキャリアと共有することができる。つまり、SS7を悪用すれば、顧客がどこにいてもその場所をキャリアが見つけることができるということだ。

Positive Technologiesの研究者チームはこれと同様に、SS7プロトコルを利用してWhatsAppとTelegramのアカウントをハックする方法を最近披露している。

Positive Technologiesの専門家が考案した攻撃手法は、GmailやTwitterを含め、ユーザーアカウント認証にSMSを用いるどんなサービスにも作用する。

Facebookアカウントのハッキングは現実的なものだ。攻撃者はまずFacebookのホームページの「アカウントを忘れた場合」のリンクをクリックし、手順に従う必要がある。この時点で標的のアカウントの電話番号やメールアドレスを求められるので、ハッカーは正しい電話番号を入力する必要がある。

ここで攻撃者はSS7の脆弱性を悪用し、標的のFacebookアカウントにログインするのに使用するワンタイムパスワード（OTP）が記載されたSMSを横取りすることができる。

研究者が公開した概念実証動画を見てみよう。

Facebookアカウントの乗っ取りは、ユーザーが電話番号を登録し、Facebookテキストを使用していた場合のみ有効である。

Facebookアカウントを保護するためには、電話番号とソーシャルメディアのサイトをリンクさせず、代わりに復元プロセスにはメールを用いたほうが良い。常に、パスワードを受信するのにSMSテキストではなくメールを使用した2要素認証を有効にしておくことだ。
　
翻訳：編集部
原文：Hacking Facebook Accounts with just a phone number through the SS7 protocol
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。