iOS 11では、メールソフトのスパム処理のように、受信したSMSメッセージをサードパーティ製のフィルターを通して送信できるようになりました。迷惑メールはメインのメッセージ画面にフィルタリングされ、迷惑メールは別のタブに表示されます。
この機能は、Hiyaアプリのバージョン4.0アップデートで既に利用可能です。これにより、アプリの従来の通話ブロックと通話識別のサポートが拡張されます。
こんにちは SMS 迷惑タブには、フィルターによってスパムとしてマークされたメッセージが含まれます。
AppleがiOSにスパムや不正使用関連の機能を導入するのは今回で4回目です。これまでの3回は、iOS 7の音声通話、SMS、iMessage、FaceTimeにおける電話番号とメールアドレスの手動ブロック、iOS 8の連絡先に登録されていない送信者に対するiMessageフィルタリング、そしてiOS 10の通話ブロックと識別でした。
今回の件で、Appleは、高度に個人情報化されうる情報を第三者に委託し、処理させているという事実を隠そうとはしていない。この機能を有効にすると、iOSは異例の第二のハードルを設ける。SMSやMMS(マルチメディアメッセージ)には、機密情報や銀行口座へのログイン確認コードなどが含まれている可能性があるという警告が表示される。続行するには「有効にする」をタップする必要がある。
Appleは安全対策を講じていますが、自分の情報がどこに送られるのかを気にする人は、フィルタリングよりもスパム対策を好むかもしれません。また、アプリ側ですべての処理をローカルで行うことを選択できるため、懸念は軽減されます。
SMSフィルタリングの仕組み
サードパーティ製のフィルターをインストールすると、不明な送信者からのiMessageフィルタリング(iOS 11の「設定」>「メッセージ」>「不明とスパム」にあるオプション)が有効になっている場合、メッセージアプリに2つのタブが作成されます。左側のタブには「連絡先とSMS」、右側のタブには「不明な送信者」が表示されます。すべてのSMSは左側のタブに残ります。
SMSフィルタリングは、対応するアプリがインストールされ、iMessageフィルタリングと同じ設定エリアでこの機能が有効になっている場合、右側のタブを変更します。両方の設定が有効になっている場合はタブが「不明とスパム」に、テキストメッセージフィルタリングのみが有効になっている場合は「SMSジャンク」に変わります。
Appleは6月のWWDCカンファレンスでこの機能を発表しましたが、あまり注目されませんでした。プレゼンテーションの中で同社は開発者向けに、iOSは受信者の電話番号や個人を特定できる情報をアプリに渡さず、送信者の電話番号(発信者番号で識別)またはメールアドレスとメッセージ本文のみを渡すと説明しました。
iOSは、連絡先に登録されている電話番号またはメールアドレスからのメッセージをフィルタリングの対象から除外します。また、送信者に3回返信すると、相手が既知の相手であるとみなされ、フィルタリングが停止されます。
アプリは、ルールとダウンロードしたデータベースを用いて、端末内で完全に処理することもできます。これは通話ブロックと似ています。通話ブロックでは、AppleはアプリにiOSに読み込まれたマッチングルールをダウンロードすることを義務付けていますが、テキストメッセージの処理方法についてはAppleは制約を設けていません。iMessageはエンドツーエンドで暗号化され、デバイス上でのみ送信され、デバイスを経由することはありません。
しかし、Appleは開発者がデバイス外にデータを転送することを許可しています。これにより状況は一変します。
匿名化解除と標的型攻撃
IDG SMS フィルターを有効にすると、長い警告とタップする追加ボタンが表示されます。
同社はWWDCプレゼンテーションで、複数の安全対策を設計に組み込んでいることを強調しました。開発者は、変数を渡すことのできない固定URLを指定する必要があります。これにより、アプリが意図的または不注意にユーザーを特定するデータを渡すことを防ぎます。また、エンドツーエンドの保護を提供する安全な接続を使用する必要があります。
しかしながら、膨大なプライバシー研究により、一見匿名化された情報であっても、十分な情報が収集されれば高い信頼性につながる可能性があることが示されています。この場合、AppleがCookieの受け入れや送信を一切行わないと明言していたとしても、ウェブサーバーは受信リクエストの発信元IPアドレスやその他の技術データを把握していることになります。
単純なアプローチとしては、SMSフィルタリング会社のセキュリティを突破した攻撃者が、標的の電話番号に意図的にスパムメールを送りつけ、ユーザーがそのサービスを利用しているかどうかを確認するというものです。攻撃者は、自分が利用した電話番号に対応するメッセージが届いたかどうか(テキストメッセージの内容は忘れても構いません)を確認し、その情報を他の個人情報と組み合わせて利用します。これには、近年発生した多数の大規模侵入事件で漏洩したパスワードも含まれる可能性があります。
これにより、SMSによる二要素認証が有効になっているユーザーであっても、アカウントの乗っ取りを試みることができるようになります。一部のサイトでは、事前に確認済みの電話番号に一時パスワードやパスワードリセットのリンクをSMSで送信するため、メールアドレスしか登録していないアカウントも攻撃対象となります。こうした自動メッセージは通常、連絡先リストに登録されていない電話番号を使用し、返信されることもないため、SMSフィルタリングをすり抜けてしまう可能性が高くなります。
Appleのプレゼンテーションでは、フィルタリングサービスを提供する企業がメッセージを受信後に削除する必要があるのか、それとも保存時に暗号化する必要があるのか、また、その監査方法については言及されていません。企業は、意図的あるいは偶発的に、送信者と関連付けられたメッセージやその他の追加情報を含む大規模なデータベースを蓄積する可能性があります。(Hiyaはメッセージを保持していないと述べています。)
デバイス外フィルタリング機能は、優れたセキュリティを備えた善意の開発者に依存しています。悪意のある開発者は絶対に通過しないと断言したとしても(あり得ないことですが、これはHiyaを批判するものではありません)、攻撃者がシステムに侵入したり大量のデータを盗み出したりできるゼロデイ脆弱性など、予期せぬ状況では、最高のセキュリティでも機能しない可能性があります。
不明な相手からのメッセージをフィルタリングするメリットと、フィルタリング会社のセキュリティ侵害が最終的に自分に跳ね返ってくるリスクを比較検討する必要があります。スパムや不正利用が深刻な問題となっている場合は、フィルタリングする価値があるかもしれません。
