「Skype」と「Google Voice」に脆弱性、“PBXボットネット”に悪用されるおそれも
4月13日14時43分配信 Computerworld.jp
「Skype」や「Google Voice」を使った不正通話の方法を、米国Secure Scienceの研究者が発見した。この方法が悪用されれば、ここ数年にわたってPCに大きな損害をもたらしているボットネットの電話版へと発展するおそれもある。
Secure Scienceの共同創業者ランス・ジェームズ(Lance James)氏によると、同社の研究者が発見した方法を使えば、SkypeやGoogle Voice(3月にプレビュー版がリリースされた電話関連サービス)の電話アカウントに不正にアクセスし、低コストのPBXプログラムを利用して、これらのアカウントから電話を大量に発信できるという。
これらの発信は事実上追跡できないため、例えば偽の自動メッセージング・システムをセットアップすれば、通話相手の機密情報を盗み出すことも可能になる。
この攻撃は「ビッシング」(vishing:音声通話を使ったフィッシングの意)と呼ばれている。攻撃の手口としては、録音メッセージを使って着信者に銀行口座の詳細情報を更新するよう求めるといったものがある。
「多数のSkypeアカウントを盗めば、PBXをセットアップして仮想Skypeボットネットを構築し、それらのアカウントから大量の発信を行うといったことも可能だ。フィッシング犯にしてみれば、いたって便利だろうし、Skypeにとっては深刻な攻撃だろう」(ジェームズ氏)
Google VoiceとSkypeに対する攻撃ではそれぞれ別の方法が使われる。だが、両方の方法が有効なのは、どちらのサービスでも、ボイスメール・システムにアクセスするのにパスワードが不要なためだ。
Skypeに対して攻撃を仕掛けるには、まずはユーザーがSkypeにログインしてから30分以内に、悪意あるWebサイトに誘導しなければならない。また、Google Voiceに対する攻撃では、攻撃者は被害者の電話番号をあらかじめ知っていなければならない。
Secure Scienceの指摘を受け、Googleは声明を発表した。Secure Scienceが発見した攻撃方法を可能にするバグにパッチを適用し、ボイスメール・システムでパスワード入力を必須にしたことを明らかにしている。
一方、Skypeの脆弱性にはまだパッチが当てられていない。Skype Technologiesの親会社である米国EBayからも、現時点でコメントは得られなかった。
(Robert McMillan/IDG News Serviceサンフランシスコ支局)
ん~これはちょっとこまりものですねぇ。早い修正バージョンを望みます。
暗黒の稲妻
BGM:OSCA(By東京事変)
4月13日14時43分配信 Computerworld.jp
「Skype」や「Google Voice」を使った不正通話の方法を、米国Secure Scienceの研究者が発見した。この方法が悪用されれば、ここ数年にわたってPCに大きな損害をもたらしているボットネットの電話版へと発展するおそれもある。
Secure Scienceの共同創業者ランス・ジェームズ(Lance James)氏によると、同社の研究者が発見した方法を使えば、SkypeやGoogle Voice(3月にプレビュー版がリリースされた電話関連サービス)の電話アカウントに不正にアクセスし、低コストのPBXプログラムを利用して、これらのアカウントから電話を大量に発信できるという。
これらの発信は事実上追跡できないため、例えば偽の自動メッセージング・システムをセットアップすれば、通話相手の機密情報を盗み出すことも可能になる。
この攻撃は「ビッシング」(vishing:音声通話を使ったフィッシングの意)と呼ばれている。攻撃の手口としては、録音メッセージを使って着信者に銀行口座の詳細情報を更新するよう求めるといったものがある。
「多数のSkypeアカウントを盗めば、PBXをセットアップして仮想Skypeボットネットを構築し、それらのアカウントから大量の発信を行うといったことも可能だ。フィッシング犯にしてみれば、いたって便利だろうし、Skypeにとっては深刻な攻撃だろう」(ジェームズ氏)
Google VoiceとSkypeに対する攻撃ではそれぞれ別の方法が使われる。だが、両方の方法が有効なのは、どちらのサービスでも、ボイスメール・システムにアクセスするのにパスワードが不要なためだ。
Skypeに対して攻撃を仕掛けるには、まずはユーザーがSkypeにログインしてから30分以内に、悪意あるWebサイトに誘導しなければならない。また、Google Voiceに対する攻撃では、攻撃者は被害者の電話番号をあらかじめ知っていなければならない。
Secure Scienceの指摘を受け、Googleは声明を発表した。Secure Scienceが発見した攻撃方法を可能にするバグにパッチを適用し、ボイスメール・システムでパスワード入力を必須にしたことを明らかにしている。
一方、Skypeの脆弱性にはまだパッチが当てられていない。Skype Technologiesの親会社である米国EBayからも、現時点でコメントは得られなかった。
(Robert McMillan/IDG News Serviceサンフランシスコ支局)
ん~これはちょっとこまりものですねぇ。早い修正バージョンを望みます。
暗黒の稲妻
BGM:OSCA(By東京事変)