アップル、「iPhone」のSMS脆弱性問題で回答

　米国時間8月17日、筆者は「iPhone」がSMSのなりすまし攻撃に対して脆弱である可能性があるという新事実について書いた。基本的には、「iOS」でのメッセージのヘッダの扱い方が原因で、悪意のある人物が返信先番号を偽って、金融機関など他者の番号が表示されるよう操作できてしまうということだ。

　先日ハッカーのpod2gがこの脆弱性を暴露した後、EngadgetがAppleからこの件で回答を得ている。

　Appleはセキュリティを極めて重視している。「SMS」ではなく「iMessage」を使う場合にはアドレスは確認され、この手のなりすまし攻撃は防止される。SMSの限界の1つは、なりすましのアドレスでどの電話にでもメッセージを送ることができてしまう点であり、ユーザーには、SMSのメッセージが未知のウェブサイトやアドレスへと案内するものだった場合は極めて慎重になるよう促している。

　筆者はこれまでSMSによるメッセージアプリを作ったことはないが、Appleがしているように全てをこの技術のせいにするのは責任逃れのように感じられる。pod2gがこの脆弱性に関する投稿で説明したように、メッセージのヘッダには実際の送信元番号と返信先の文字列が含まれている。SMSがセキュリティ面ではとても鉄壁とは言えないのは事実だが、両方のフィールドをもう少し見えるようにすることは確実に手始めとなるだろう。

　これを念頭に置いて、引き続きテキストメッセージには慎重に、またどのようにこれを使うかにも気をつけたい。最近は銀行手続きに様々な方法があるが、SMSは使うべきではない。

　筆者はAppleにコメントを求めているが、本稿掲載時点で回答はない。