Sekoiaは9月30日(現地時間)、「Silent Smishing : The Hidden Abuse of Cellular Router APIs - Sekoia.io Blog」において、Milesight製産業用セルラールータなどを悪用するスミッシング攻撃を発見したと報じた。

欧州経済領域(EEA: European Economic Area)の携帯電話ユーザーを主な標的とし、フィッシングサイトに誘導したとされる。

  • Silent Smishing : The Hidden Abuse of Cellular Router APIs - Sekoia.io Blog

    Silent Smishing : The Hidden Abuse of Cellular Router APIs - Sekoia.io Blog

セルラールータを悪用する手口

Sekoiaの研究者は、ハニーポット化したMilesight製産業用セルラルーターを設置することで攻撃を検出。報告によると、設置したその日に攻撃が確認され、ハニーポットにSMSメッセージの送信を要求してきたという。一般的にSMSの送信には認証が必要だが、一部のルータは認証なしでSMS関連機能を使用可能とされる。

Shodan検索エンジンによると、公開されたMilesight製産業用セルラルーターは19,000台以上。研究者はこれら公開ルータの中から6,643台について調査し、572台が認証なしでSMSメッセージの送信を受け付けていることを確認。これらルータの多くは古いバージョンのファームウェアを実行していたが、一部は比較的新しいファームウェアとされ、不正アクセスを許容している原因は特定されていない。

  • 脆弱なセルラールーターの分布図。トルコ、スペイン、オーストラリアに集中している - 引用:Sekoia

    脆弱なセルラールータの分布図。トルコ、スペイン、オーストラリアに集中している 引用:Sekoia

脆弱なルータの約半数はヨーロッパから発見されている。その多くがトルコ、スペイン、オーストラリアから発見され、日本を含むアジア地域への影響は少ないとみられている。

SMSメッセージは2022年2月ごろから送信が開始された可能性が示唆されている。標的ユーザーの地理的分布ではスウェーデン(約34.8%)が最も多く、これにイタリア(約25.9%)、ベルギー(約20.4%)、その他の地域(約11.7%)が続く。調査対象となったベルギーおよびフランスの事例では、CSAMやeBoxなどの公的サービスに偽装するフィッシングサイトが確認されている。

  • フィッシングサイトの例 - 引用:Sekoia

    フィッシングサイトの例 引用:Sekoia

影響と対策

研究者によると、この攻撃で用いられたフィッシングサイトの一部は本稿執筆時点においても稼働中とされる。攻撃の主な目的は認証情報および個人情報の収集とみられ、前述のフィッシングサイトでは個人情報と金融機関情報の入力を要求している。

Sekoiaは同様の攻撃を回避するために、携帯電話ユーザーに対して不審なURLや短縮URLを含むSMSメッセージに警戒するように呼びかけている。とくに文法ミスや緊急の内容はスミッシング攻撃の可能性が高く、これらメッセージには疑念を持ち続けることを推奨している。