モバイル
感染したAndroid端末を悪用したSMS PVAサービスからSMS認証の欠陥が明らかに
一部のSMS PVAサービスでは、サービスのユーザが使い捨てユーザプロファイルを作成することや、多くの一般的なオンラインプラットフォームに複数のアカウントを登録することが可能です。これらのサービスは、詐欺などの不正な活動を実行する犯罪者に悪用される可能性があります。
一部のSMS PVAサービスでは、サービスのユーザが使い捨てユーザプロファイルを作成することや、多くの一般的なオンラインプラットフォームに複数のアカウントを登録することが可能です。これらのサービスは、詐欺などの不正な活動を実行する犯罪者に悪用される可能性があります。
この2年間で、ショートメッセージサービス(SMS)による電話認証をすでに行ったアカウント(PVA)を提供する SMS PVAサービスが増加しています。SMS PVAサービスは、オンラインサービスやオンラインプラットフォームの登録に使用できる代替の携帯電話番号を提供するものです。この種のサービスにより、オンラインプラットフォームやオンラインサービスで新規アカウントの認証に広く使用されているSMS認証メカニズムを回避することが可能です。そのため、サイバー犯罪者は使い捨てアカウントをまとめて取得したり、犯罪活動用に電話認証済みアカウントを作成することが可能です。 以下のセクションでは、smspva[.]netというサイトを使用するSMS PVAプロバイダの運営を調査した結果を紹介します。詳細については、トレンドマイクロのリサーチペーパー「SMS PVA 攻撃者が大量の偽アカウントを登録できるアンダーグラウンドサービス」をご覧ください。
■SMS PVAサービスの特徴
smspva[.]netとその他のSMS PVAサービスの主な特徴は、基本的に共通しています。
・携帯電話番号は1回だけ使用するものとして提供され、さまざまな国の番号が用意されています。
・プラットフォームユーザがテキストメッセージを要求できるアプリは、サービスオペレータによって事前に規定されています。これは、サイトによっては「プロジェクト」と呼ばれています。
・電話番号の長期レンタルはできません。
図1:smspva[.]netユーザが利用できるSMS「プロジェクト」を選択するためのドロップダウンメニュー
このSMS PVAサービスプロバイダは、さまざまな国の携帯電話番号を多数保持することができます。また、これらの番号の維持費が顧客に請求されるサービス料金を超えていることも特筆すべきです。では、どうやって事業運営を維持しているのでしょうか。
SMS傍受に使用される不正なAndroidアプリ
調査の過程において、このSMS PVAの運営機能が、SMSを傍受する不正プログラムに感染したAndroid端末上で構築されている証拠を発見しました。
そこでトレンドマイクロは、API URLとWebサイトそのものを手がかりにして、これを調査しました。smspva[.]netのAPI名と機能は固有ですが、図2に示すように、enjoynut[.]cnのサブドメインlm.enjoynut[.]cnで非常によく似たWebサイトがホストされているのを見つけました。
図2:smspva[.]net(左)とlm.enjoynut[.]cn(右)のスクリーンショットの比較
smspva[.]netとlm.enjoynut[.]cnは、ログインページもロゴも同じなら、APIドキュメントも同じです。2つのドメインのユーザトラフィックを比較したところ、smspva[.]netの受信トラフィックの方がはるかに多いことが確認されました。そのため、enjoynut[.]cnはテストサーバとして使用されたもので、smspva[.]netが本番サーバだと思われます。
enjoynut[.]cnドメインは、Androidを標的とした不正プログラムの複数の亜種で利用されているため、このことは重要なつながりを示しています。
図3:Velocity-Time(VT)Graphを利用したアーティファクトの関連性分析
グラフ上で見られる興味深いDEXファイルとしては、sha1ハッシュが「e83ec56dfb094fb87b57b67449d23a18208d3091」のファイルで、これは不正プログラムAndroidOS_Guerillaの亜種として検知されたものです。下の図から明らかなように、このDEXファイルはcardking.ejoynut[.]cnをデバッグコマンド&コントロール(C&C)、sublemontree[.]comを本番C&Cサーバとして使用しています。
図4:デバッグC&Cサーバとして使用されるCardking.enjoynut[.]cnと本番C&Cサーバとして使用されるsublemontree[.]com
このDEXファイルは、感染したAndroid端末が受信したSMSを傍受し、C&Cサーバから受信した正規表現(regex)ルールと照合し、その正規表現と一致するテキストメッセージをC&Cサーバに送信するように設計されています。
図5:着信SMSを傍受するコード
図6:WebSocket経由でサーバから正規表現を受信するコード
図7:受信した正規表現と一致するテキストメッセージを送信するコード
トレンドマイクロはこれらのコードスニペットとC&Cサーバトラフィックをフィンガープリントとして使用して、C&Cサーバは異なりますが同様の機能を備えたDEXファイルをさらに2つ特定することができました。これは、このAndroidを標的とした不正プログラムの開発が活発に行われており、開発コードにも本番コードにも複数のバージョンがあることを示唆しています。
Android端末に受信されたSMSから傍受された情報は、特定のサービスによって送信され、C&Cサーバから取得した正規表現に一致するテキストメッセージだけでした。これは、おそらくAndroid端末のユーザが不正な活動を発見するのを防止するためでしょう。この不正プログラムは潜伏し続けながら、要求に一致するテキストメッセージだけを収集するため、この活動を長期間にわたって密かに継続することができます。もしSMS PVAサービスのユーザが、感染した端末上のすべてのメッセージにアクセスすることが可能な場合、所有者はすぐに問題に気づくはずです。 このSMS PVAサービスは、ユーザがテキストメッセージを受信できるプラットフォームの種類も制御します(図1参照)。つまり、サービスの背後にいるオペレーターは、感染した端末上で明らかに不正な活動が発生しないようにできるということです。たとえば、バンキングアプリの2要素認証(2FA)の窃取をユーザに許した場合、本当のユーザがアラートを受信し、対策を講じるはずであり、結果としてSMS PVAサービスは資産を失うことになります。
レジデンシャルプロキシの使用
オンラインプラットフォームやオンラインサービスでは、登録時のユーザの所在地を確認することで新規アカウントを認証することがよくあります。たとえば、IPアドレスがアカウントに使用されている電話番号の地理的位置と一致しているかどうか確認が行われます。
これを回避するために、SMS PVAユーザは、プロキシや仮想プライベートネットワーク(VPN)などのサードパーティのIPマスキングサービスを利用して、目的のサービスに接続しようとしたときに記録されるIPアドレスを変更します。Trend Micro Smart Protection Network™(SPN)のテレメトリを使用したところ、SMS PVAサービスのユーザがさまざまなプロキシサービスや分散型VPNプラットフォームを広く活用して、IPアドレスの地理的位置の確認を迂回していることがわかりました。
ユーザ登録要求やSMS PVA API要求は、多くの場合、VPNサービスまたはレジデンシャルプロキシシステムの出口ノードから送信されます。つまり、SMS PVAサービスのユーザは通常、サービスの登録に使用した電話番号に合わせてIP出口ノードの国を選択できる何らかの住居用プロキシやVPNサービスを組み合わせて使用しているということです。
■SMS PVAサービスがセキュリティとSMS認証に及ぼす影響
SMS認証は、多くのオンラインプラットフォームやオンラインアプリのデフォルト認証方法となっています。多くのIT部門は、SMS認証をユーザカウントの「セキュア」なブラックボックス認証ツールとして扱っています。しかし、今やオンラインサービスやオンラインプラットフォームは、SMS認証に依存しすぎることに慎重になるべきです。上述の通りSMS PVAサービスを使うことで、サイバー犯罪者がSMS認証の無効化を大規模に行うことが十分可能となっていることは明らかです。これは、ボットや荒らし、または詐欺などのような活動を行う認証済みアカウントがプラットフォーム上に存在する可能性があることも意味します。
いくつかのプラットフォーム上では「正規のユーザの行動」とみられる活動も、SMS PVAアカウントを使用するサイバー犯罪者によって操作されている可能性があります。つまり、詐欺や不正行為によってプラットフォームの運営コストが増加する可能性があるということです。さらには、プラットフォームが人身傷害や物的損害に(直接または間接的に)関与する可能性も考えられます。 サイバー犯罪者がこれらのサービスを詐欺や犯罪活動にどう悪用するかは、過去の偽アカウントの使用例を考えれば予測できます。
匿名ツール
サイバー犯罪者は、多種多様な活動に使い捨て番号を使用します。犯罪活動の追跡を心配することなくアカウントを登録できるからです。また、使用する感染端末の電話番号が実在の人物に結び付けられているため、法執行機関の捜査の目は別の人物に向くことになります。
また、クレジット払いなどの信用販売に関連する悪用事例も確認されています。この事例では、複数の不正プログラムのサンプルがSMS PVAサービスを使用して電話番号を取得し、その番号を既存のオンライン決済サービスアカウントに関連付けていました。その後、サイバー犯罪者はオンラインショッピングサイトから購入を試みました。こうした活動の事例はまだ数例しか確認されていませんが、自動化された場合、これらのアカウントが不正購入やマネーロンダリングに広く悪用される可能性があると考えられます。
これらのサービスは、商取引プラットフォーム上での損害や違法行為の責任を回避する目的で使用される可能性もあります。2020年に、ロシアのカーシェアリングサービスが自動車事故を起こした人を告発しましたが、そのカーシェアリングサービスに使用されたアカウントは、告発された人の名前と使い捨てSIMカードを使って認証された不正アカウントだったことが判明しました。
組織的な詐欺行為
ソーシャルネットワークで情報(得てして偽情報)を配布・拡散する場合、組織的な詐欺行為(CIB)がよく行われます。SMS PVAサービスを利用すると、CIBを十分なスピードと精度で迅速かつ大規模に行うことが可能です。大規模なキャンペーンを利用すれば、ブランド、サービス、政治的見解、または政府計画(ワクチン接種キャンペーンなど)に対する世論を操作できます。虚偽報道の首謀者は、SMS PVAサービスを使ってネット荒らし部隊を創設することも可能です。
一部のSMS PVAサービスは、すでに様々な国に広がる何千台もの侵害済みスマートフォンを保有しています。SMS PVAサービスの背後にいる犯罪者は、彼らがターゲットとしている特定の国において、これらのサービスを展開し、ユーザがソーシャルメディアアカウントを一括登録することを可能にしています。
サインオンボーナスの悪用
サインオンボーナス(新規アカウント登録時によく付与される特典)も、SMS PVAサービスを使って悪用される可能性があります。たとえば、東ヨーロッパ、アフリカ、西アジアで人気のある配車サービスのBoltは、アカウントの新規登録ごとに無料配車クーポンを提供することにより、新規サインオンを優遇しています。一部のSMS PVAサービスは、その収益化構造の有用性を認識し、SMS PVAサービスの利用拡大を図るために「Bolt配車料の無制限割引」を打ち出しています。
■まとめと推奨事項
このセキュリティ上の問題の核心は、一企業が世界中の何万台ものデバイスからのテキストメッセージを監視・傍受し、対価さえ支払えば誰もがサービスを利用し、この傍受の利益を得られることにあります。また恐ろしいことに、カスタマイズ可能な正規表現パターンがC&Cサーバから取得できるということは、認証コード以外にもSMS傍受機能を応用できるということです。さらに、ワンタイムパスワード(OTP)トークンの収集に拡張されたり、強圧的な政権による監視ツールとして利用されたりする恐れもあります。
SMS PVAサービスは、ワンタイムSMS認証が主な認証手段として不適切かつ不完全であることを示すと同時に、モバイルセキュリティやプライバシーを強化する必要性があることも浮き彫りにしています。これらの携帯電話に感染する不正プログラムは、ユーザが無意識のうちにダウンロードしたり、サプライチェーンのセキュリティにギャップがあることを示唆している可能性があります。
トレンドマイクロは、不正なコードを検知し、C&Cサーバへのトラフィックをブロックすることができます。しかし、包括的なソリューションを実現するには、アカウント認証に関して標準的に用いられている装備に対して、安全であるという思い込みを疑い、効果的なコンテンツモデレーションを行い、スマートフォンのセキュリティを強化する必要があります。
この脅威の詳細については、トレンドマイクロのリサーチペーパー「SMS PVA: An Underground Service Enabling Threat Actors to Register Bulk Fake Accounts」をご覧ください。
■ 侵入の痕跡(Indicators of Compromise、IoC)
今回の記事に関する侵入の痕跡は、こちらをご参照ください。
参考記事:
- 「SMS PVA Services’ Use of Infected Android Phones Reveals Flaws in SMS Verification」
By: Zhengyu Dong, Ryan Flores, Vladimir Kropotov, Paul Pajares, Fyodor Yarochkin