シンガポールの大手銀行のOCBCを騙ったフィッシングがシンガポール国内で深刻な被害をもたらしており、話題になっている。
手口としては、銀行のユーザーにフィッシング・リンク付きのSMSを送り、偽のOCBCのWebサイトに誘導してパスワード等を窃取するというものだが、特筆すべき点として攻撃者の送信した悪意のあるSMSが、銀行から送られた正規のSMSと同一のスレッド内に表示されたということが挙げられる。
一体どうしてそんなことが可能だったのか気になり、調べてみた。
SMSにはAlphanumeric Sender IDというフィールドがあり、このフィールドに任意の名前を指定してSMSを送信すると、送信元として電話番号の代わりにAlphanumeric Sender IDで指定した名前が表示される。
OCBCのフィッシングの場合、攻撃者はAlphanumeric Sender IDに"OCBC"と指定してユーザーにSMSを送信した。
この細工により、もしユーザーが過去にOCBCとSMSでやり取りしていた場合、攻撃者の送信したSMSが、その正規のスレッドに表示されてしまうらしい。(通常、SMSはSMS Aggregatorという仲介業者を介して送信されるが、送信者の認証とかはしていないっぽい?)
Alphanumeric Sender IDは採用している国としていない国があり、シンガポールは採用していた。
おまけに2022年1月時点で、事前の登録無しで任意のAlphanumeric Sender IDを使用できる。つまり、やろうと思えば誰でもOCBCや他の組織を騙ってSMSを送信できる状態。
2021年の8月からInfocomm Media Development Authority (IMDA)がSMSのSender IDを保護するSingapore SMS SenderID protection registryという取り組みを始めた。企業や組織は自身が使用しているSender IDをこの保護サービスに登録することにより、第三者による悪用を防ぐことが出来る。(OCBCが保護サービスに加入していたかは不明。)
ちなみに日本も登録無しでAlphanumeric Sender IDを使用できる。
日本では公的なやり取りにSMSを用いることは稀だと思うが、シンガポールではかなり一般的である。自分の使用しているDBS銀行も重要な通知をSMSでユーザーに飛ばしている。
自分にとっても他人事ではないので、注意していきたい。
