F-SecureCurse of Silence, a Symbian S60 SMS Exploit」より
December 30,2008

 ドイツのベルリンにて開催されたセキュリティ・カンファレンス「25th Chaos Communication Congress(25C3)」で2008年12月30日(現地時間),容易に再現可能なショート・メッセージング・サービス(SMS)エクスプロイトの発表とデモンストレーションがあった。このエクスプロイトは,フィンランドのノキアが販売しているモバイル機器向けOS「Symbian S60」搭載スマートフォンの多くに被害を与え,SMSメッセージを受け取れなくしてしまう。

 同カンファレンスは,世界中から熱心なハッカーが集まる人気イベントである。ドイツのハッカー・グループ「カオス・コンピュータ・クラブ(CCC)」が1984年に運営を開始し,1998年からはベルリンで行われるようになった。例年12月27~30日に開かれる。

 今回の「Security Nightmares 2009」(「セキュリティの悪夢2009年」)と題されたプレゼンテーションでは,このエクスプロイト「Curse of Silence」(「静かなる呪い」)を調べたCCCのTobias Engel氏がデモンストレーションした。

 Engel氏によると,Curse of SilenceはNokia Series 60の「2.6」「2.8」「3.0」「3.1」というバージョンを搭載している端末のSMSメッセージ処理コンポーネントに影響するという。我々がテストしたところ,ソニー・エリクソン・モバイル・コミュニケーションズの「UiQ」プラットフォーム搭載デバイスにも同様のセキュリティ・ホールが存在することを確認できた。

 攻撃対象となるNokia Series 60の各バージョンは,2.6が「S60 2nd Edition, Feature Pack(FP)2」,2.8が「S60 2nd Edition, FP3」,3.0が「S60 3rd Edition」(初版),3.1が「S60 3rd Edition, FP1」という名称で知られている。

 数字ばかりで分かりにくいだろうか。

 ノキアはWebサイト「S60.com」に便利な表を掲載し,多種多様なNokia Series 60端末を比べられるようにしている。

表1●S60.comの比較表
[画像のクリックで拡大表示]

 問題を調査したEngel氏は,今回のセキュリティ・ホールを持つNokia Series 60端末が「S60 versions 2.6/3.0(2FP2/3)」系と「S60 versions 2.8/3.1(2FP3/3FP1)」 系の2グループに分かれるとした。これでも数字が多過ぎるので,具体的に二つの端末で代表させよう。

・「Nokia 6680」:S60 2nd Edition, FP2搭載端末
・「Nokia N95」:S60 3rd Edition, FP1搭載端末

 このセキュリティ・ホールは,SNSメッセージ経由でとても簡単に悪用できる。特殊なソフトウエアなど必要なく,いろいろな端末で攻撃用のメッセージが作れる。攻撃メッセージの作成は,ある特定のやり方で編集するだけだ(ただし,ここでは詳しい方法を紹介しない)。

 今回のセキュリティ・ホールを持つ端末は,攻撃メッセージを受け取ると以下のように動く。

・例1:比較的古いタイプのNokia 6680では何も起きない。外見上は全く何も起きないのだ。ただし,内部では攻撃メッセージを1通受け取っただけで,SMSメッセージ処理サービスがクラッシュする。完全に目立たない攻撃で,障害が発生した気配すら感じさせない。攻撃を受けた端末は,これ以降SMSメッセージを受信しなくなるだけだ。マルチメディア・メッセージング・サービス(MMS)のメッセージも受け取らなくなる。

Nokia 6680と同様の現象を起こす端末の例を知りたい場合はここを参照してほしい。

・例2:比較的新しいタイプのNokia N95は,攻撃者から複数のメッセージを受け取るまで何も起きない。受け取った攻撃メッセージがある数に達すると,「メッセージ受信に必要なメモリーが不足しています。まずデータを削除して下さい」という警告が表示される。

写真1●Nokia N95の警告画面

 警告に従ってメッセージを消すと,攻撃メッセージは「Inbox」(受信箱)から見えなくなる。ただし,受信済みメッセージを削除しても問題は解決しない。

 Nokia N95は,もう一つ別の警告を表示する。画面の右上で封筒アイコンが点滅し,「Inboxが一杯になった」と伝えるのだ。

 問題の起きたNokia N95は,いったん電源を切ってから再起動すると使えなくなっていた機能が復活することもある。ただし,こうした機能の動作はとても不安定になる。我々がテストした端末は,マルチパート・メッセージを1通受け取っただけで完全にSMS/MMSサービスが使えなくなり,電源を入れ直しても復活しなかった。

 Nokia N95と同様の現象を起こす端末の例を知りたい場合はここを参照してほしい。

 攻撃された端末でも,SMS/MMS以外の機能は完全に正常なまま使える。SMS/MMSメッセージングだけが攻撃の対象なのだ。例えば,不在着信のあったことを示す表示が出ているにもかかわらず,ボイスメールのSMS通知が届かない,という状況に陥る。

 当ブログ記事の執筆時点で,修正版ファームウエアは提供されていない。被害を受けたら,ハード・リセットして解決するしかない。ハード・リセットしても,端末のデータをバックアップから戻すと攻撃メッセージまで一緒に復活し,再びメッセージ・サービスの障害が発生する。

 恥ずかしながら,ここで当社(エフセキュア)の宣伝をしよう。

 まず,Engel氏が適切な情報開示を事前に行ってくれたおかけで,我々は25C3の発表当日までに十分な時間をかけてエクスプロイトを調査できた。この結果,当社のセキュリティ・ソリューション「Mobile Security」はこのエクスプロイトを検出し,被害端末を修復できるようになった。

 Mobile Securityはこのエクスプロイトを「Exploit:SymbOS/SMSCurse」として検出し,メッセージを失うことなく端末を修復する。ただし,メッセージング・サービスがエクスプロイトの影響下にある最中に送られてきたメッセージは,当然失われる。

 恐らく今回のエクスプロイトはまん延しないと思う。というのも,このような攻撃を行っても利益に結びつくとは思えないからだ。ただし,25C3の参加者は多かったし,今回のデモンストレーションを見た人も大勢いる。Curse of Silenceは簡単に悪用できてしまうため,嫌がらせの手段として試す輩が間違いなく現れるだろう。

 当社は,携帯電話機に直接ダウンロードして7日間無料で試用できるMobile Securityのトライアル版をWebサイトで提供している。

 エクスプロイトのデモンストレーション・ビデオも公開している。


Copyrights (C) 2008 F-Secure Corporation. All rights reserved.
◆この記事は,エフ・セキュアの許可を得て,フィンランドのセキュリティ・ラボの研究員が執筆するブログWeblog:News from the Labの記事を抜粋して日本語化したものです。本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。オリジナルの記事は,「Curse of Silence, a Symbian S60 SMS Exploit」でお読みいただけます。