アカウント名:
パスワード:
#3645858 [srad.jp] のように、
SMSの発信元は偽装できる。
といった書き込みが色々されているようですが、日本国内ではSMSの発信元の電話番号を偽装した場合、廃棄されるので偽装できません。
ドコモを装ったフィッシングSMSにご注意ください! | お知らせ | NTTドコモ [nttdocomo.co.jp]
のようなケースは、悪意のあるSMSの Alphanumeric Sender ID が "NTT DOCOMO" となっているので、ドコモ公式SMSと同じスレッドになっているだけです。SMSの発信元の電話番号の偽装ではありません。
Alphanumeric Sender ID が何であるのかは、日本語の情報サイトは少ないですが ↓ が分かりやすいかなと思います。https://twilioforkwc.zendesk.com/hc/ja/articles/360000013181 [zendesk.com]
で、Alphanumeric Sender ID が "NTT DOCOMO" な SMS の発信元の電話番号を確認すれば、なりすましかどうかがわかるかという点については、なりすましかどうかの判別は不可能です。
何故ならば、Alphanumeric Sender ID で SMS を送った場合、発信元の電話番号はデータとして受信者に渡らないからです。
SMSはマルチバイトでは70文字まで、1バイト文字だけでも160文字までと制限されているような原始的な仕組みになっており、Alphanumeric Sender ID か発信元の電話番号のどちらかしか通知されないわけですね。
じゃあ、Alphanumeric Sender ID として電話番号を送ったらどうなるのか、と思うかもしれませんが、それはキャリア側のシステムでブロックされます。つまり、実在の電話番号を詐称することはできません。
ただし、Alphanumeric Sender ID として5桁の数字が使われる場合 [ex-sms.com] もあるので、数字のみなら電話番号というわけではなく、実在の電話番号 ("0901234****" のような番号) は詐称できないとお考え下さい。
ってことで、"NTT DOCOMO" のような Alphanumeric Sender ID を使ったドコモが馬鹿でセキュリティを分かっていないということです。東京都のように発信元を電話番号にして、それを公開するというのは理にかなっています。つまり、"NTT DOCOMO" を詐称したSMSは送ることができるが、東京都の電話番号を詐称したSMSは廃棄されるということです。
日本国内のネットワークでは、発信元が実在の電話番号の場合、詐称できない(キャリアで廃棄される)仕組みになっているからです。海外ネットワーク経由は詐称できる場合がありますが、日本国内の電話番号を詐称したSMSは日本国内のネットワークで廃棄されます。
へぇ。けっこうセキュアなんだね。
でも、発信者番号の詐称については防げるのは分かったけど、東京都を詐称した詐欺自体は防げないのよね…。無論、発信者番号が異なるので分かる人にはすぐ分かるのだろうけど、騙される人は調べる能力が無い人だからね。
今まで使われてなかったSMSでの督促、という経路が増えたことで、詐欺の経路も増えた、ってのが問題なんだな。従来は、SMSで督促は詐欺!と切り捨てれば良かったわけなので。
本物と区別ができないレベルのなりすましはできないけど、一見本物っぽいなりすましはできる。都は前者の話をしてるけど、詐欺師にとっては後者で十分。
SMSに差出人を偽装できる脆弱性、Apple「iMessageを使え」 [security.srad.jp]なんてのも昔ありましたが、さすがに修正済みでしょうかね。
それ以前の問題として、他の人も指摘しているように発信者電話番号は偽装できなくても、よほどわかりやすい番号で周知しないと贈ってきた発信元の電話番号が本当に都税事務所のものかは普通分からないという問題がありますね。
0の代わりにOを使うとか1の代わりにlを使ってAlphanumeric Sender IDを電話番号っぽく見せる手もありそう。
怪しけりゃ発番で検索すれわかるだろそんな事もできんやつは何だってって騙されるからいまさら関係ないと言う立て付けよ行政コストが下がって徴収率が上がるんなら良いんじゃねと思う他でSMSというだけで詐欺と切って捨てられなくなるから…とか言ってるけどそんな心配なら切って捨てていいよどうせ最後はハガキで来るんだから
ドコモがやらかしてるのに国内のネットワークでは大丈夫とかいうこの自信はどこからきてるのだろうか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
Alphanumeric Sender ID と違って発信元電話番号は詐称不可 (スコア:2, 参考になる)
#3645858 [srad.jp] のように、
といった書き込みが色々されているようですが、日本国内ではSMSの発信元の電話番号を偽装した場合、廃棄されるので偽装できません。
のようなケースは、悪意のあるSMSの Alphanumeric Sender ID が "NTT DOCOMO" となっているので、ドコモ公式SMSと同じスレッドになっているだけです。
SMSの発信元の電話番号の偽装ではありません。
Alphanumeric Sender ID が何であるのかは、日本語の情報サイトは少ないですが ↓ が分かりやすいかなと思います。
https://twilioforkwc.zendesk.com/hc/ja/articles/360000013181 [zendesk.com]
で、Alphanumeric Sender ID が "NTT DOCOMO" な SMS の発信元の電話番号を確認すれば、なりすましかどうかがわかるかという点については、なりすましかどうかの判別は不可能です。
何故ならば、Alphanumeric Sender ID で SMS を送った場合、発信元の電話番号はデータとして受信者に渡らないからです。
SMSはマルチバイトでは70文字まで、1バイト文字だけでも160文字までと制限されているような原始的な仕組みになっており、
Alphanumeric Sender ID か発信元の電話番号のどちらかしか通知されないわけですね。
じゃあ、Alphanumeric Sender ID として電話番号を送ったらどうなるのか、と思うかもしれませんが、それはキャリア側のシステムでブロックされます。
つまり、実在の電話番号を詐称することはできません。
ただし、Alphanumeric Sender ID として5桁の数字が使われる場合 [ex-sms.com] もあるので、数字のみなら電話番号というわけではなく、
実在の電話番号 ("0901234****" のような番号) は詐称できないとお考え下さい。
ってことで、"NTT DOCOMO" のような Alphanumeric Sender ID を使ったドコモが馬鹿でセキュリティを分かっていないということです。
東京都のように発信元を電話番号にして、それを公開するというのは理にかなっています。
つまり、"NTT DOCOMO" を詐称したSMSは送ることができるが、東京都の電話番号を詐称したSMSは廃棄されるということです。
日本国内のネットワークでは、発信元が実在の電話番号の場合、詐称できない(キャリアで廃棄される)仕組みになっているからです。
海外ネットワーク経由は詐称できる場合がありますが、日本国内の電話番号を詐称したSMSは日本国内のネットワークで廃棄されます。
Re: (スコア:0)
へぇ。けっこうセキュアなんだね。
でも、発信者番号の詐称については防げるのは分かったけど、東京都を詐称した詐欺自体は防げないのよね…。
無論、発信者番号が異なるので分かる人にはすぐ分かるのだろうけど、騙される人は調べる能力が無い人だからね。
今まで使われてなかったSMSでの督促、という経路が増えたことで、詐欺の経路も増えた、ってのが問題なんだな。
従来は、SMSで督促は詐欺!と切り捨てれば良かったわけなので。
Re: (スコア:0)
本物と区別ができないレベルのなりすましはできないけど、一見本物っぽいなりすましはできる。
都は前者の話をしてるけど、詐欺師にとっては後者で十分。
Re: (スコア:0)
SMSに差出人を偽装できる脆弱性、Apple「iMessageを使え」 [security.srad.jp]なんてのも昔ありましたが、さすがに修正済みでしょうかね。
それ以前の問題として、他の人も指摘しているように発信者電話番号は偽装できなくても、よほどわかりやすい番号で周知しないと贈ってきた発信元の電話番号が本当に都税事務所のものかは普通分からないという問題がありますね。
0の代わりにOを使うとか1の代わりにlを使ってAlphanumeric Sender IDを電話番号っぽく見せる手もありそう。
Re: (スコア:0)
怪しけりゃ発番で検索すれわかるだろ
そんな事もできんやつは何だってって騙されるからいまさら関係ない
と言う立て付けよ
行政コストが下がって徴収率が上がるんなら良いんじゃねと思う
他でSMSというだけで詐欺と切って捨てられなくなるから…
とか言ってるけどそんな心配なら切って捨てていいよ
どうせ最後はハガキで来るんだから
Re: (スコア:0)
ドコモがやらかしてるのに国内のネットワークでは大丈夫とかいう
この自信はどこからきてるのだろうか?