Uncategorized

2FAバイパス：ハッカー「SLOVENLY COMET」が認証コードを傍受

佐々山 Tacos

2025.04.07

2FAがバイパスされる：ハッカー「SLOVENLY COMET」が認証コードを傍受

Securityexpress[.]info – April 4, 2025

SMSメッセージを利用した2FA認証の危うさを象徴する新たなインシデントが、数週間前からアルゼンチンで報告され始めたという。影響を受けたユーザーらは、自身で何の操作もしていないにもかかわらずTelegramアカウントを乗っ取られた上、基本的なデジタルセキュリティの原則に事細かく従っていた個人でさえ被害に遭ったことがわかっている。Security Allianceはこの攻撃に関与する脅威アクターを「SLOVENLY COMET」と名付け、アドバイザリを公開した。

Security Allianceの研究者は数週間前からTelegramアカウント乗っ取り被害についての複数の報告を受け、調査を開始。その結果、最も早い攻撃は2025年2月7日に行われていたことや、攻撃者があえて特定のTelegramグループ（主にアルゼンチンの暗号資産コミュニティに関連するもの）のメンバーをターゲットにしていること、またどの事例でも2FA認証コードを含むSMSメッセージが攻撃者によって発信されていたことなどが判明した。その後研究者らはこの攻撃に複数のSMSゲートウェイプロバイダーにおけるサプライチェーン侵害が関わっているのではないかと仮説を立て、スクリーンショットやシステムログ、流出したデータなどのさらなる分析を実施。この仮説が正しかったことを確認したほか、あるTelegramボットによって認証コードを含むメッセージが体系的に傍受されていたことを突き止めたという。

Security Allianceによると、多数の企業が一握りの同一SMSゲートウェイプロバイダーを使用していることから、攻撃者は数々の有名サービスから発信されるSMSベースのMFAメッセージを傍受することができたという。影響を受けたサービスは少なくとも50あると考えられており、これには、Googleやマイクロソフト、アップル、Telegram、Facebook、Amazon、Binance、Instagram、TikTok、Temu、Signalなど世界的に使用されているものが含まれるほか、Mercado PagoやMi Argentina（アルゼンチン）、Banco Formosa（ウルグアイ）、TRANSVIP（チリ）などローカルなサービスも含まれるとされる。傍受されたメッセージにはMFAコードのほか、認証情報や個人情報などの機微なデータも含まれていたことが発覚しており、この事実によって、Telegramアカウントの乗っ取りがユーザー側の操作なしで達成できた理由が説明されているという。

Security Allianceは問題となったサプライチェーン侵害を上記のようなSMSサービスにとって不可欠な重要インフラ層で発見しており、関連する組織や電気通信事業者、政府機関にすでに報告済み。これらの組織でも現在調査が開始されており、今後新たな調査結果が明かされることが見込まれる。それまでの間、サービス開発者には、SMSベースの2FAを取り下げて認証アプリやハードウェアセキュリティキーなどより安全性の高い認証手段を用いることが強く推奨されている。