Yammer 著作権侵害の脅威!Google アカウントの 2 段階認証 SMS に広告が表示される
ジャカルタ - オーストラリアのモバイルアプリ開発会社アクションランチャーを経営する実業家のクリス・レイシーは、6月29日(火曜日)にテキスト広告で覆われたGoogleからの2段階認証を示すスクリーンショットをツイートしました。このサービスが存在するはずではないことを考えると、これは恐ろしいことです。
Googleは最終的に、広告の挿入に何の役割も持っていないと述べて反応しました。Google では、2 段階認証セキュリティ コードまたは 2 要素認証コードを含む SMS メッセージにテキスト広告を挿入する方法を調査します。
2 段階認証に表示されるコードは、非常に機密性の高いものです。このコードは、ユーザーと Google のみが知っている必要があります。他の誰かがコードを知っている場合、広告を挿入しても、それは確かに疑問符になります、セキュリティが保証されていますか?
私はちょうど広告を含むGoogleから2要素認証SMSを受け取りました。Google独自のメッセージSMSアプリは、スパムとしてフラグを立てました。なんて恥ずべきお金がつかむんでしょう。pic.twitter.com/NeStIndR6q
クリス・レイシー (@chrismlacy) 2021年6月29日
「これはGoogle広告ではなく、この慣行を容認していません」と、Googleのアイデンティティとセキュリティプラットフォームのプロダクトマネジメント担当シニアディレクター、マーク・リッシャー氏のツイートを読み上げます。「私たちは携帯電話会社と協力して、なぜこのようなことが起こっているのかを理解し、それが二度と起こらないようにしています。
レイシー自身は、彼の投稿にコメントの要請に応じなかった。また、関係する無線通信事業者の名前も挙がりませんでした。
名前を挙げないように頼んだネチゼンも情報セキュリティメディアグループに報告し、6月25日にGoogleアカウントにサインイン中に同じメッセージを受け取ったと述べた。
彼はまた、スクリーンショットを提供し、彼はオーストラリアの無線事業者Optus、シンガポールのSingtelの子会社との後払い契約を持っていたと言いました。この人は、広告のリンクは、VPNサービスを販売するウイルス対策ベンダーAviraにリダイレクトされたと言いました。
ループを閉じるには、これらはGoogle広告ではなく、この慣行を容認しません。私たちは、これが起こった理由を理解し、それが二度と起こらないようにするために、無線通信事業者と協力しています。うれしいGoogleメッセージは、安全でない🛑 https://t.co/MqSZgh1uUK としてフラグを立てました
— マーク・リッシャー (@mrisher) 2021年6月29日
Optusの広報担当者は、彼の会社は「メッセージを注入しておらず、状況を認識していないが、現在この事件をさらに調査している」と語った。
一方、Aviraのスポークスマンは、広告は彼らの知らないうちに第三者の広告パートナーによって置かれたと言いました。Aviraとその広告パートナーは現在、「契約の契約条件に明らかに違反しているので、広告を掲載した会社との活動をすべて停止しました。Avira自体は、同社またはその広告パートナーの名前を挙げることを拒否しました。
「Aviraは、可能な限り2要素認証を利用するなど、接続された世界の人々を保護するためのあらゆる努力をサポートしています」と、同社のJubirが言いました。「広告を注目してくれた方々に感謝します」
他の2つの主要なオーストラリアのオペレーター、ボーダフォンとテルストラは、彼らがテキストメッセージに広告を注入していないと言います。
レイシーはまた、古いGoogleの電子メールアカウントにサインインした後、SMS経由で2段階認証コードを受け取ったと書いています。彼は、認証アプリを介して2段階のコードを取得するために、そのアカウントを変更していないと書きました。
彼のツイートはすぐにGoogleの懸念を引き起こした。Google Chromeのエンジニアリングマネージャーであるエイドリアン・ポーター・フェルトは、2ステップコードが機能しているかどうかを尋ねました。レイシーはそれが本当だと答えた。
セキュリティメッセージに追加された広告が問題と考えられるのには、正当な理由があります。レイシーは、GoogleのSMS対策スパム機能がメッセージをキャプチャすると指摘しました。
レイシーはその後のツイートで、広告インジェクションの慣行は「2FAの信頼を損ない、2FAメッセージが配信される可能性を低くする」と書いています。本当に恥ずかしいです」
Malwarebytesのマルウェアインテリジェンスアナリスト、クリス・ボイド氏は、広告の表示方法は、顧客の承認、関係する広告ネットワーク、他のユーザーが共有または表示するデータに関する疑問を提起すると書いています。ユーザーがリンクが悪意のあるものかどうかを判断するのは困難です。
「最悪のシナリオでは、広告が悪意のあるページやフィッシングサイトにつながる可能性があります」とBoyd氏はブログ記事に書いています。「SMSコードをセキュリティの追加レイヤーとして使用するという評判を損なう方法はあまりありません」
これまでのところ、商業的な提案とセキュリティアラートや通常のブラウジングトラフィックを混在させることは良いとは考えられません。
3年前、研究者のグループは、Facebookが広告目的で2段階認証コードを受け取することを目的としたユーザーが提供する電話番号を使用していることを発見しました。Facebookは最終的に、ユーザーが電話番号を入力することなく2段階認証を使用することを可能にします。
広告に加えて、SMS 経由で送信される任意の 2 ステップ コードを認証アプリにリダイレクトするための強力なセキュリティ ケースがあります。
SMS メッセージはこれまで暗号化されておらず、オペレータはコンテンツにフル アクセスでき、コンテンツを変更できます。しかし、SMS経由で2段階認証コードを受け取ることは、アカウントの買収を停止する可能性がありますので、それをアクティブにしないよりも優れています。しかし、SMSを介してコードを受け取ることは、現在、リスクを引き起こす始めています。
攻撃者は被害者の電話番号を引き継ぎ、SIM交換またはハイジャックと呼ばれるスキームで2段階のコードを受け取ることができるからです。
これらの攻撃では、詐欺師は、多くの場合、携帯電話会社の顧客サービス担当者を欺き、その番号を別のSIMカードに転送することによって、数字の公式保有者のふりをします。