SMSで送信元を偽装したメッセージを送る - Akaki I/O

送信元表記が送信者IDのケース SMSのメッセージを受信した際に表示される送信元には、電話番号の代わりに任意の英数字も表記できる。この英数字の送信元表記を「送信者ID（Sender ID）」という。JC3の図では 通信事業者Ａ が送信者IDに当たる。 なお送信者IDの利用可否は受信側の通信事業者の対応状況によって異なる。Twilioの販売パートナーであるKWCの説明によると、日本国内ではNTT DOCOMOとSoftBankが送信者IDに対応し、KDDIは対応していないとのこと²。私はKDDIの回線を所有していないため、受信側がKDDIの電話番号を使用している場合の挙動は検証できていない。 まずはiOSの公式メッセージアプリに届いていたAmazonからのメッセージのスレッドで偽装を試みる。送信者IDは Amazon となっているため、TwilioでSMSを送信する際のFromの値に Ama

[hylom]

なおSMSでの納税催告を行うことにした東京都がなりすましはできないと主張していた理由がこれ（電話番号では偽装不可）。 https://security.srad.jp/story/19/07/04/1351240/

[Fushihara]

送信元が電話番号じゃお客様に分かりにくいからDOCOMOって文字列にしよう^^ とすると逆に改竄のリスクが生まれてしまうとは…

[JORG]

auは本体自体がクソメッセージ送ってくる印象があるので、より絶望感を感じる。使ってないけど

[nasunori]

SMSの偽装という発想がなかったからびっくりしてる。実際に送られてきたらわかんねえなこれ

[ya--mada]

MicrosoftのMFAでSMSだと特に決まりのない送信元から確認コードが飛んで来るんだよ。しかも0ABJも070も謎国番号もAlphanumericも入り乱れてる。MSは謎ドメインも色々持っているから、マジもんで文字列だけでは区別つかなくて💩

[mohno]

んー、「XXX.ne.jp」も「XX.com」も実在するんだよなあ、と思ったら、日本サイバー犯罪対策センターのイメージそのままなのか。「出典：通信事業者を騙るスミッシング詐欺の手法に係る注意喚起 - JC3」/本題は怖い話。

[taguch1]

TFAの話をするときSMSのセキュリティの話は置いといてって枕詞が着くもんね。

[takc923]

知らんかった。emailのFromくらい信用ならんのな。

[Listlessness]

SenderID偽装によるSmishing以外にもSMSが安全でない理由はある　https://japan.zdnet.com/article/35095393/　https://blog.kaspersky.co.jp/ss7-hacked/22358/

[atsu10]

SMSだいぶザルなんだね。2段階認証で使う事が増えてるから、自分がアクション起こしたやつ以外は無視しろ、ぐらいが今できることかなぁ。

[yamadarts]

“送信元表記が送信者IDのケース” だとiPhoneだとブロック出来ない AU回線にするとこの説明だと送信元表記が送信者IDで送り付けられないらしい

[dekaino]

SMSのスレッド表示機能なんかさらさらないガラケーを使っている自分には関わりないことだった。Fromがあてにならないなんて当然の話だし。

[sin20xx]

偽装というか、そもそもSMSで使われているプロトコル自体も既に死に体なわけなのになぜかチャットツール的に海外では使ってるのよね。なのでセキュリティガバガバなわけだけど、余りにも使われすぎていて手に負えない

[Falky]

ﾋｪ…

[tmatsuu]

すっげー怖い

[rochefort]

へー

[manhole]

これは...

[coherent_sheaf]

「SMSの送信元を偽装したメッセージが正規の送信者のスレッドに届く」

[tmtms]

SMSの送信元はこんなに簡単に偽装できるのか。Eメールと変わらんな。

[takatoshiono]

スミッシング知らなかった

[mas-higa]

やはり他人に電話番号を教えるべきではないな (ぉぃ

[patorash]

こんなに簡単なのか…。

[bhikkhu]

ヤバイなこれ

[altar]

SMSでAmazon等を偽装する詐欺が可能、ただし電話番号への偽装はできないので知り合いになりすますことはできない、と。

[fu_kak]

ほへー

[Cujo]

ぷらすなんとかさんあぴーるちゃんすなのでは？ひきついでるからおなじあなあいてる？

[chris4403]

“なお送信者IDの利用可否は受信側の通信事業者の対応状況によって異なる。Twilioの販売パートナーであるKWCの説明によると、日本国内ではNTT DOCOMOとSoftBankが送信者IDに対応し、KDDIは対応していないとのこと2。私はKDDIの回

[chairoitenten]

どうやって見分けたら良いんだ

[carios]

正規のスレッドの中に入れれるのhaマズイな

[umakoya]

マジか！SMSの送信元名は偽装と言うか任意設定可能なのか。メールのFromと同レベルだ。スレッドに混じると絶対にわからない。

[field_combat]

電話番号の偽装はできないけどIDの偽装は可能なのか。

[el-condor]

これはTwilio APIの仕様がザルなのかSMS自体が基本そういう仕様なのか。何れにせよこれはなあ。

[kanu-orz]

この検証結果は怖すぎる。SMSは疑ってかかろう……

[lejay4405]

ギョエー

[delphinus35]

これはきつい。一般人には理解不能だろう。／SMSで2要素認証もずっと前から非推奨になってるのにいまだに使われてるのはなんなの。https://jp.techcrunch.com/2016/07/26/20160725nist-declares-the-age-of-sms-based-2-factor-authentication-over/

[hungchang]

何のハッキングもなく送れてしまうのか。表示名が偽装されるだけでなく、既にあるスレッドに割り込まれるのは、知らないと騙されるなあ。

[tazyamah]

送信元偽装の存在はしっていたけどこんなにお手軽だったとは・・・

[naglfar]

これは恐ろしい。ＳＭＳは送信元を信頼性の材料にしてはいけない。

[uunfo]

メールのFrom並みに信用できないのか…／フィッシングメールはFromのメールアドレスを偽装してない方が多いのが不思議。詐称すると明確な犯罪になるのかな。

[hara_boon]

わかりやすかった。怖いな