送信元表記が送信者IDのケース SMSのメッセージを受信した際に表示される送信元には、電話番号の代わりに任意の英数字も表記できる。この英数字の送信元表記を「送信者ID(Sender ID)」という。JC3の図では 通信事業者A が送信者IDに当たる。 なお送信者IDの利用可否は受信側の通信事業者の対応状況によって異なる。Twilioの販売パートナーであるKWCの説明によると、日本国内ではNTT DOCOMOとSoftBankが送信者IDに対応し、KDDIは対応していないとのこと²。私はKDDIの回線を所有していないため、受信側がKDDIの電話番号を使用している場合の挙動は検証できていない。 まずはiOSの公式メッセージアプリに届いていたAmazonからのメッセージのスレッドで偽装を試みる。送信者IDは Amazon となっているため、TwilioでSMSを送信する際のFromの値に Ama
デス原子力塩太郎 @pmx003_the_o 「市ヶ谷中央法律事務所」から、「お伝えしたいことがありますのでお電話ください」というSMSがあって、調べたら確かに法律事務所の番号だったので電話。 「『お伝えしたいこと』とあるが、こちらには見に覚えがありません。SMSに宛名がありませんでしたが、誰あてに送信したんですか?」と聞くと(続 2023-12-10 14:34:55 デス原子力塩太郎 @pmx003_the_o 「電話番号とお名前をお教えください」というので 「送信してきた電話番号はともかく、なぜこちらから個人情報を名乗らなければならないのか、そちらが送信しようとした相手と一致するかどうかはこちらが回答するのだから、送信者名を教えろ」 というと、渋々名前を出してきた。もちろん知らん人(続 2023-12-10 14:36:51 デス原子力塩太郎 @pmx003_the_o 「知らない人
東京都主税局が、携帯電話のSMSを使って納税催告。仕事などで日中電話に出られなかったり、訪問しても不在の納税者にSMSで催告することで、連絡手段を拡充する。同時に、SMSを使った振り込め詐欺にも注意を呼び掛けている。 東京都主税局は、携帯電話のSMS(ショートメッセージサービス)を使い、都税の未納者に対して、納税に関する確認を求めるメッセージを送信する取り組みを始めると発表した。これまで、電話や訪問などで催告してきたが、仕事などで日中電話に出られなかったり、訪問しても不在の納税者にSMSで催告することで、連絡手段を拡充する。同時に、SMSを使った振り込め詐欺にも注意を呼び掛けている。 納期限が過ぎ、督促状を送付済みの人に納税するよう求める手段としてこれまで、電話や郵送、訪問による催告を行ってきたが、新たに、SMSによる催告を行うことにした。 送信するメッセージのイメージとしては、「○○都税
1億DLを突破 オードリー・タン氏も認める詐欺電話・SMS防止アプリ「Whoscall」とは?:台湾で2人に1人が利用(1/3 ページ) 「お荷物の住所が不明でお預かりしております」「プライム会費のお支払方法に問題があります」――。こんなSMS(ショートメッセージ)を受け取ったことがある人は多いのではないか。近年、SMSから偽サイトに誘導し、個人情報を盗む「フィッシング詐欺」が急増している。こうした詐欺SMSや迷惑電話を防ぐ台湾発のアプリ「Whoscall(フーズコール)」が世界で1億ダウンロードを超え、規模を拡大している。直近では福岡市が詐欺防止に向けて活用するなど、国内でも熱い視線が注がれている。一体、どのようなアプリなのか。創業者に話を聞いた。 電話が鳴ると、スマートフォンの画面上に「迷惑電話」「詐欺電話」といったアラートが表示される。「郵便局配達員」や「〇〇銀行」といった具合に、電
和田哲哉/文房具ジャーナリスト(隠居) @wabysprg 筆記具と文房具/カメラ・クルマ・安価な腕時計・ガジェット類の話題/「ステーショナリープログラム・信頼文具舗・東京小猫商会・LowPowerStation」中の人/著書は「文房具を楽しく使う・文房具の足し算・頭が良くなる文房具」など/昔「多ノート派」とか「手帳&ノート構成」といったキーワードを提唱しました https://t.co/XYWXGjZYME 和田哲哉/文房具ジャーナリスト(隠居) @wabysprg メジャーになってきました。でもこれ騙されて犯人に何か買われる被害など序の口で、自身のApple ID取られ戻せず、つまり「手元のアップル製品が全て自分の物で無くなり」しかもアップルジャパンが(現状)スマートに対応してくれないという「その先の地獄」が待っているの。(続く twitter.com/FNN_News/statu…
オザワミカ on Twitter: "恥を忍んで書きますが、コロナの影響でいろんな仕事が一気にキャンセルになり、収入が激減して、3月末自宅家賃を引き落とせなかったのです。 すると、保証会社からSMSで「支払い可能な日程をお知らせください。日程のメドが立たない場合はその… https://t.co/pKWnmUscjm"
恥を忍んで書きますが、コロナの影響でいろんな仕事が一気にキャンセルになり、収入が激減して、3月末自宅家賃を引き落とせなかったのです。 すると、保証会社からSMSで「支払い可能な日程をお知らせください。日程のメドが立たない場合はその… https://t.co/pKWnmUscjm
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 Twitter: @shiropen2 米ノースイースタン大学などに所属する研究者らが発表した論文「Freaky Leaky SMS: Extracting User Locations by Analyzing SMS Timings」は、SMS(Short Message Service)を送ることで相手のスマートフォンの位置を特定するサイドチャネル攻撃を提案した研究報告である。攻撃者は、ユーザーのスマートフォンに複数のテキストメッセージを送信する。ユーザーの自動配信の返信のタイミングによって、ユーザーの位置を三角測量で特定できる。 攻撃は、SMSの送信者がネットワークを介し
セブン&アイグループのバーコード決済サービス「7pay」で不正アクセス被害が出ている問題で、運営企業のセブン・ペイが7月4日に記者会見を実施。「質疑応答の場面でセブン・ペイ社長が『SMS』と『SNS』を混同した」とする誤った内容のツイートが投稿され、広く拡散されました。 拡散されていたツイート Twitterでは、セブン・ペイ社長がSMS認証に関する質問に対し「SMSってTwitterのことですよね、みなさんがTwitterされてるとは限らないですし」と回答したとされていますが、会見の様子を最後まで中継した動画を確認しても、そうした発言はみられません。このツイートは現在見られない状況となっていますが、少なくとも数千件リツイートされ、広く拡散されていました。 このツイートは14時51分に投稿されたもの。「SMSってTwitterのことですよね」と発言したとする根拠は不明ですが、5ちゃんねるに
先日、Viceに他人のSMS(ショートメッセージサービス)を簡単に盗む方法があるという衝撃的な内容の記事が掲載されました。 攻撃者はターゲットのスマホにアクセスする必要も、SIMカードを手に入れる必要もありません。 ただ、VoIPサービス卸売業者にわずかなお金を払って、自分たちが再販業者であると思い込ませ、書類を偽造し、ターゲットのSMSを別の番号に転送するように仕向けるだけでいいのです。 セキュリティの甘かったSMSサービスLucky225さんはMediumで次のように説明しています。 2021年3月11日(木)のある時点まで、NetNumberは、あらゆる携帯電話番号のNNIDの再割り当てや乗っ取りを、認証も検証を行なわずに許可していました。 おそらく、この筆者やほかのジャーナリストから説明を求められたNetNumberは、内部調査を行ない、それが事実であることがわかると、一時的に携帯
従来、詐欺サイトやウイルス(マルウエア)配布サイトに誘導する常とう手段はメールだった。だが最近ではスマートフォンの普及を受けて、SMS(ショートメッセージサービス)を使う手口が急増している。「メールでもSMSでも変わりない。注意していれば大丈夫」と思う人は少なくないだろうが大間違いだ。SMSには知る人ぞ知る恐ろしい仕様があるからだ。 偽の不在通知が猛威に SMSの偽メッセージでユーザーを偽サイトに誘導する手口はSMSフィッシングやスミッシングなどとも呼ばれる。 2018年以降、SMSの偽メッセージが大きな被害をもたらしている。特に多いのが宅配便の不在通知に見せかける手口である。佐川急便をかたる手口が猛威を振るい、その後ヤマト運輸や日本郵便などを名乗る手口が出現した。 今でもこの手口は盛んに使われている。例えばフィッシング対策の業界団体であるフィッシング対策協議会は2020年7月、フィッシン
米Twitterが2月に発表した、SMSを使った2要素認証をサブスクリプションサービス「Twitter Blue」ユーザー限定にする措置。同社は無料ユーザーに対し設定を削除するようにアプリ内で案内していたが、その期限が迫っている。 Twitterは設定を削除していない無料ユーザーに数日前から再び告知を始めている。3月19日までを期限としており、まだ設定解除していないユーザーは急いだほうが良いだろう。同社は「Twitterにアクセスできなくなることを防ぐために」と案内しており、おそらく再ログインする際にSMSで送られてくるはずのコードが受け取れず、ログインができなくなるものと思われる。 2要素認証を今後も使いたいなら認証アプリを使おう なお、認証アプリやセキュリティキーなど、SMS以外の2要素認証については引き続き対応しており、今後も無料アカウントで2要素認証を利用したい場合は、「Googl
NTTドコモの電子マネー決済サービス「ドコモ口座」やペイペイなどスマートフォン決済事業者を利用した不正な預金引き出しが見つかった問題で、一部でSMS(ショートメッセージサービス)を使った本人確認が突破され、被害が発生していることが17日、分かった。ドコモ口座以外でも被害が確認された背景の一つとみられ、本人確認が十分でない携帯電話が使われた可能性がある。金融庁もSMS認証だけでは被害が抑止できないと判断、同日までに決済事業者に本人確認を強化するよう注意を呼びかけた。 【表】スマホ決済事業者のセキュリティー対策 一連の問題をめぐっては、ドコモ口座を開設する際、メールだけで口座が開設できるなど本人確認が不十分で、なりすましが容易だったことが一因とされた。ただ、その後、件数は少ないもののペイペイやメルペイなどドコモ以外のスマホ決済事業者でも同種事案が相次いで確認された。多くのケースで共通するのがS
オライリーのサブスクを業務でもフル活用する:O'Reilly Online Learning の便利な使い方 #sms_tech - エス・エム・エス エンジニア テックブログ
介護事業者向け経営支援サービス「カイポケ」の開発をしている @koma_koma_d です。 エス・エム・エスには、エンジニアの学習を支援する制度がさまざま存在しています。そのうち、AmazonのURLをSlackで伝えるだけで即日注文、数日で自宅に技術書を届けてもらえる制度については、以前の記事でご紹介しました。 tech.bm-sms.co.jp 上記の制度とは別に、 「オライリーのサブスクリプションサービスを使わせてもらえる制度」 があります(2022年3月現在)。今回は、このオライリーのサブスクリプションサービスをどのように活用しているのかを社内のエンジニアに聞いてみました。 オライリーのサブスクリプションとは? オライリーのサブスクリプションは、正式には「O'Reilly Online Learning」といい、技術出版社の O'Reilly が運営しているサブスクリプションサー
フィッシングサイトへの自動入力のリスク SMS OTPとWebサイトが紐付かない状態では、正規のSMS OTPがフィッシングサイトへ自動入力されるリスクが生じる。現実的なリスクとして、GutmannらはMITMと組み合わせた「ログインにおける2要素認証の回避」と「ソーシャルログインの偽装による電話番号確認の回避」、「オンライン決済における取引認証の回避」の3つのシナリオを示している⁷。2要素認証の回避につながるリスクは、iOSの自動入力がPayPayの偽サイトで発動した前回の検証で確認している。今回の検証ではAndroidの自動入力がPayPalの偽サイトで発動するか確認する。 2要素認証の回避 PayPalの偽サイトは前回と同様にMITMフィッシングフレームワーク「Evilginx2」で複製し、一般利用者が誤ってアクセスしないようインバウンド接続を制御した。Android 11のChro
英セキュリティ企業のAdaptiveMobile Securityは9月12日(現地時間)、SIMカードの脆弱性を悪用してスマートフォンユーザーを監視する攻撃を発見し、この脆弱性および攻撃を「Simjacker」と名付けたと発表した。 この攻撃は、少なくとも過去2年間使われてきたという。「政府と協力して個人を監視する特定の民間企業が開発したものと確信している」と同社は説明する。ある国では、Simjacker攻撃によって1日当たり100~150の携帯番号が標的にされている。 攻撃者がスパイウェアのようなコードを含むSMSを標的の携帯電話に送ると、その端末のSIMが乗っ取られる。これは「S @ T Browser」ブラウザーという古いソフトウェアを悪用するもので、このソフトウェアはeSIMを含む多様なSIMカードにプリインストールされており、少なくとも30カ国の携帯キャリアがこのプトロコルを使
楽天モバイル(MNO)には、「Rakuten Link」という特徴的なサービスがあります。RCSという国際規格をベースとしたもので、通信回線に依存しない形で、つまりWi-Fiや他社回線経由でも、このアプリを使えば楽天モバイルの電話... しかし、上の記事で紹介した通り、「楽天のSIMが入っていない別のスマホでも設定できる」仕様なので、その自由度ゆえにセキュリティをしっかりと担保してもらわないと「乗っ取り」の危険性があることは想像に難くありません。Linkのログイン時にはSMS認証を求められる(=その電話番号を使える本来のSIMカードが手元にないと設定できない)のでまあ大丈夫、と思っていたのですが……。 なんと恐ろしいことに、セキュリティの要所となるSMS認証にあまりにも分かりやすい抜け穴が作られていることが発覚し、一部のユーザーの間で話題になっています。 まず、Rakuten Linkの設
介護や医療、ヘルスケア、シニアライフの領域で高齢社会の情報インフラを構築している株式会社エス・エム・エス(以下、SMS)のエンジニアの神谷です。コードを書く以外にも、採用などの組織づくり、開発環境整備など幅広く仕事をしています。 自分がSMSに入社したタイミングでは、開発現場にはよくある、開発環境がアップデートされていない、デプロイのためのコストが高く一度のリリースが大きくなってしまうなど「技術的負債」がたまっており、どのように負債を解消していくかを模索していました。 今回は、技術的負債の解消にどう取り組んできたのかを振り返って紹介できればと思います。少しでも、技術的負債に悩む方々の参考になれば幸いです。 技術的負債の解消に立ちはだかる様々な壁 自分は、iOSのエンジニアからキャリアをスタートしました。スタートアップでエンジニアをはじめたので、基本的にはなんでもやる姿勢で開発と雑用に取り組
米Twitterは2月15日(現地時間)、テキストメッセージ(以下「SMS」)による2要素認証(以下「2FA」)を有料サービス「Twitter Blue」の会員のみの特権機能に変更すると発表した。 同日から新たな登録ができなくなり、既存のSMS版2FAユーザーは3月20日までにBlue会員にならなければ失効する。Twitterは、失効する前に他の方法に登録し直すことを勧めている。
ある日、記者のスマートフォンに、法律事務所からショートメッセージ(SMS)が届いた。「受任通知を送付しました。至急、開封のうえ、ご対応をお願いします」。身に覚えはなく、詐欺の類いだと思って無視していると、8月には毎日届くようになった。調べると、法律事務所は東京に実在している。放置すべきか、反応すべきか。そしてついに、事務所から電話がかかってきた-。 ■携帯に「受任通知を送付した」 メッセージが最初に届いたのは6月23日。宛先は記さず、最後に「弁護士法人○○○○法律事務所」と記されていた。スマホは会社名義で、仕事以外に使わない。自宅にも会社にも「受任通知」は届いていない。 「折り返して連絡を取ると、だまされたり、個人情報を取られたりするのではないか」。そう思い、無視を決め込んだ。2日後にも、支払い期限が6月27日だというメッセージが送られてきた。 その後は何もなかったが、8月19日に再び1通
漏えいした可能性があるのは、スマホに登録していた連絡先の氏名や電話番号、メールアドレス、住所、所属企業名など。情報の悪用など二次被害は確認していない。読者や同社の会員サービス「小学館ID」に関する情報は漏えいしていないという。 関連記事 ネットバンキングの不正送金、急増 被害額は3月だけで5億円超え 警察庁などがインターネットバンキングの不正送金被害が急増しているとして注意喚起している。2022年8月下旬から9月にかけて増加して以来、一旦落ち着いたものの23年2月から再び増加傾向にあるという。 「記念品を贈呈するので情報入力して」 NTTグループかたるフィッシング詐欺 NTTファイナンスをかたるフィッシング詐欺が見つかった。クレジットカード「NTT グループカード」が7月31日にサービス終了することに便乗し、個人情報やクレジットカード情報を盗む手口という。 「YouTube収益化の新しい規
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SMSで送信元を偽装したメッセージを送る
法律事務所から「お伝えしたいことがあります」とSMSが→調べると本物だったので折り返したら、面倒な展開になった
SMSで納税催告、東京都がスタート 「お伝えしたいことがあります」などメッセージ
1億DLを突破 オードリー・タン氏も認める詐欺電話・SMS防止アプリ「Whoscall」とは?
「本当に後が大変」最近続出している宅配業者を装った『SMS詐欺』に引っ掛かるとどうなるのか?
SMSを送って相手の位置を特定するサイバー攻撃 スマホ持つ全ユーザーに到達可能 米研究者らが開発
「SMSってTwitterのことですよね」 セブン・ペイ記者会見で「社長が勘違い発言した」とするデマ拡散
SMS認証はダメ。セキュリティ対策の注意点を徹底解説 | ライフハッカー・ジャパン
慣れた人ほど詐欺メッセージにだまされる、SMSの恐ろしい仕様に気をつけろ
Twitterの「SMS認証」3月19日に終了 まだ解除してない無料ユーザーは早めの変更を
ペイペイなどの被害 SMS認証も突破 所有者不明携帯電話悪用か(産経新聞) - Yahoo!ニュース
SMS OTPの自動入力によるリスクとその対策
SMSを密かに送信し、位置情報を追跡するエクスプロイト「Simjacker」が発見される
「Rakuten Link」のSMS認証に潜む重大な欠陥 - elibom
モダンな開発環境を追求するSMSの技術負債解消の軌跡 - エス・エム・エス エンジニア テックブログ
Twitter、SMSによる2FAはBlueユーザーのみに変更 非Blueユーザーは3月20日に無効に
送り主は実在の法律事務所 詐欺まがいのSMS、本人確認せず次々と 意を決して折り返すと…
NTTドコモとソフトバンク、迷惑SMS拒否機能を提供。無料かつ設定不要 ドコモは3月中旬、ソフトバンクは春ごろを予定
怪しいSMSが届いたら「発信者番号」をチェック、“スミッシング詐欺”特有の見極めポイントを徹底解説【知って防ごう! スミッシング詐欺】
2億6,700万ユーザーの名前と電話番号がFacebookから流出 ~SMSスパムなどに使われる可能性
ドコモとソフトバンク、迷惑SMSを自動拒否する機能を提供へ
小学館で情報漏えいか 取締役が偽不在通知SMSにだまされパスワード入力