ボイスメールでオンラインアカウントを乗っ取る方法

2018年9月4日

今どき、ボイスメールを使っている人はいるのでしょうか。「いない」というのが大方の反応でしょう。それは正しくもあり、間違いでもあります。確かに、今の時代にボイスメールを使っている人はそんなにいませんが、このサービスが搭載された携帯電話はまだ多いですし、今でも正常に動作します。多少ほったらかしにはされているかもしれませんが。

自分がボイスメールを使っていないからといって、ほかの人々も皆使っていないということにはなりません。セキュリティリサーチャーのマーティン・ビゴ(Martin Vigo)氏は、DEF CON 26で「Compromising online accounts by cracking voicemail systems」(ボイスメールシステムのハッキングによるオンラインアカウントへの不正アクセス)というレポートを発表し、オンラインアカウントのハッキングを企む侵入者が、ボイスメールを悪用する可能性について説明しました(いずれもリンク先は英語)。

自分の携帯電話とは別の電話番号からでもボイスメールのメールボックスにアクセスできるようにしている通信業者は、少なくありません。別の電話を使う場合、アクセスはパスワード/暗証番号で保護されます。しかし、ボイスメールのパスワード/暗証番号は、セキュリティが保たれているとはとても言えない状態です。多くの人は、通信事業者が設定した初期設定のコードのままにしています。たいてい、電話番号の最後の数桁や、1111や1234のようなシンプルなコードが設定されています。

しかし、パスワード/暗証番号を変更していたとしても、推測して突き止められてしまう可能性はやはり高いままです。別の調査が示すとおり(英語記事)、パスワード/暗証番号を設定するにあたっては、ボイスメール以外のパスワード/暗証番号を考えるときに比べて人々はあまり工夫を凝らさない傾向にあります。

まず、技術的にはもっと長くできる場合でも、4桁になっていることがほとんどです。また、同じ数字4つだとか、連続した数字の組み合わせ(1234、9876、2580(電話のキーパッドの真ん中の列)など)のように、覚えやすい文字列を選びがちです。19xxで始まるパスワード/暗証番号も、非常によく使われています。こうした傾向を知っていれば、より短時間で、より簡単に、ボイスメールのメールボックスに侵入できます。

パスワード/暗証番号の組み合わせを、一つ一つ試す必要はありません。スクリプトを作って、ボイスメールの番号に電話をかけてトーンモードでさまざまな組み合わせを入力する作業をさせればいいのです。このように、ボイスメールへの総当たり攻撃は、実現可能であるというだけではなく大した労力を必要としません。「だから何?」と思うかもしれません。「自分のボイスメールには、別に価値のあるものは入っていないし」と。本当にそうでしょうか。

ボイスメールでPayPalWhatsAppをハッキングする方法

大手のオンラインサービスの多くは、パスワードのリセット方法をいくつか用意しています。そのうちの1つに、利用者のプロフィールで指定されている電話番号に電話をかけて確認コードを提供するという方法があります。これを悪用して、オンラインサービスのアカウントをハッキングすることが可能なのです。

攻撃者は、先に述べたような方法でボイスメールのパスワード/暗証番号を突き止めます。そして、標的とする携帯電話の電源がオフになるか、圏外(機内モードなど)になるまで待ちます。電源がオフになる(または県外になる)と、攻撃者はオンラインサービスのパスワードリセット手順を開始し、確認オプションとして通話を選択します。そうすると、確認用のコードを知らせる通話はボイスメールにつながります。

マーティン・ビゴ氏は、この手法でWhatsAppアカウントを乗っ取れることを実演して見せました。

これとは少し異なる確認プロセスを採用するオンラインサービスもあります。アカウントに紐づけられている電話番号に電話をかけ、パスワードリセットのページに表示されている番号を利用者に押させることで確認を取るというものです。しかし、ちょっとした小技を使うと、番号を押さずに済みます。リセットコードの数字に対応するキーパッドのトーンを録音して、ボイスメールのあいさつメッセージに設定しておくのです。

この確認システムを使っているオンラインサービスの1つがPayPalです。マーティン・ビゴ氏はこちらの乗っ取りにも成功しました。

これらはごく一部の例に過ぎません。実際、パスワードリセットの確認や、2段階認証用ワンタイムコードの通知を行うのに、アカウントにひも付いた電話番号への自動音声通話を使用するサービスはまだまだあります。

ボイスメールを悪用したハッキングを防ぐ方法

  • ボイスメールを完全に無効にすることを検討してみましょう。どのみち、ほとんど使わないのですから。
  • ボイスメールを使っている場合は、安全なパスワード/暗証番号を設定してください。まず、4桁よりも長くしましょう。長いほど安心です。次に、推測しにくい数字の組み合わせにしましょう。ランダムな並びが望ましいです。
  • オンラインアカウントに紐づけている電話番号を、不必要に口外しないでください。自分のオンラインアカウントと電話番号とが、できるだけ結びつかないようにしておきましょう。
  • 電話番号をオンラインサービスと紐づけるのは避けましょう。使用条件として定められている場合や2段階認証で必要な場合もありますが、そうでなければ紐付けないようにしてください。
  • 2段階認証を使用してください。できれば、Google Authenticatorのようなアプリや、YubiKeyのようなハードウェアデバイスを利用しましょう。