悪のニュース記事

悪のニュース記事では、消費者問題、宗教問題、ネット事件に関する記事を収集しています。関連するニュースを見つけた方は、登録してください。

また、記事に対するコメントや追加情報を投稿することが出来ます。

記事登録
2003年08月12日(火) 14時50分

ハッカーがボイスメールを悪用、海外からコレクトコールWIRED

本記事は「ハッカー」特集として再編集されたものです。初出は2003年4月21日です。

 ボイスメールのパスワードを破って応答メッセージを差し換える、という手口を使ったコレクトコールの不正利用が発生している。不運な被害者には、多額の電話料金請求が届いている。

 悪意を持つハッカーたちは、米AT&T社の自動交換サービスと米SBCコミュニケーションズ社のボイスメール・サービスを組み合わせ、ボイスメールのパスワードをデフォルト設定のまま変更していないユーザーを標的にしている。

 被害者たちは、AT&T社とSBC社が不正利用の存在を知りながら、消費者を被害から守る具体的な対策を講じていないと不満を述べている。

 しかしAT&T社側では、同社の努力が不正行為を食い止めるために役立っていると主張している。

 「不正行為を検出し阻止するために、高度な技術を使った野心的なプログラムを導入して、顧客を保護している。実際に、不正行為を検出し、阻止もしている。しかし技術だけで防ぎきれるものではなく、消費者や企業が自身の使っている電話回線のセキュリティーを守る責任がある」

 手口は、次のようなものだ。まず、SBC社がボイスメール・サービスの新規顧客に発行するデフォルト設定パスワードは、一定のフォーマットに基づいており、簡単に推測可能となっている。

 開設以来、パスワードをデフォルト設定のまま変更していない場合、悪意を持つハッカーの絶好の標的になる。ハッカーはSBC社のボイスメール・システムに無断侵入し、ユーザーの録音した応答メッセージを、適当な間隔をあけて「はい」と言っている声にすり変えてしまう。

 次に、ハッカーはハッキングしたシステムに、ボイスメールが作動していそうな時間帯をねらってコレクトコールをかける。発信元はフィリピンやサウジアラビアが多い。

 AT&T社はコレクトコールを処理する際に、自動音声認識システムを利用している。この場合、通話の着信先に対して、自動音声が料金の支払いを承諾するかどうか質問することになる。ハッキングされたボイスメール・システムの応答メッセージが「はい」と答えれば、通話が接続されてしまうわけだ。

 一度接続されてしまえば、ハッカーは何時間——何日間にもわたるケースもある——も回線をつないだまま放置し、その結果、被害者は巨額の請求を受けることになる。

 ネットワーク・セキュリティー専門家の http://www.packetattack.com/ マイク・スウィーニー氏は、悪意を持ったハッカーが回線を放置する理由が、いくつか考えられると述べている。

 「他人を心理的に蹂躙できるから、ただやってみただけとも考えられる。しかし、ハッカーたちがこの手口で電話会議を開き、1セントも払わずにさまざまな『ビジネス取引』について議論する場合もあると聞いている。もしかすると、ハッカーたちは電話会議を始めて……会議が終わっても回線をほったらかしにしているだけかもしれない——どっちみち払うのは被害者だし、わざわざ回線を切る必要もないというわけだ」

 サンフランシスコに住むグラフィック・アーティストのK・C・ハッチャーさんは、不正利用の被害者で、1万2000ドルを請求されている。AT&T社もハッチャーさんも、この請求が彼女自身の通話によるものではないと認めている。しかし他の被害者同様、ハッチャーさんは通話料を払うよう求められている。

 ハッチャーさんの場合、被害に遭ったのは大みそかで、仕事用に使っていた回線がねらわれた。年末の休暇から職場に戻ると、不正利用を監視するAT&T社の担当者から、不正利用の被害に遭ったのではないかと電話が入ったとハッチャーさんは説明している。

 「応答メッセージを調べてみたら、差し替えられていることがわかった。AT&T社の担当者が教えてくれたとおりの状態だった。差し替えられた後のメッセージは、外国訛りの男の声で、『はい、はい、料金を支払います、はい、はい、はい……』という感じのものだった」

 そしてハッチャーさんによると、AT&T社の担当者は次の電話料金の請求書を受け取った際、異議を唱えられるように問い合わせ番号を発行してくれたという。「担当者は、私が料金を払う必要はまずないだろう、このような事例は頻繁に起きているし、AT&T社は請求額を帳消しにすることが多いと言っていた」

 しかし後になって、AT&T社が通話料の35%を負担するものの、ハッチャーさん自身は8000ドルを支払う必要があると告げられた。

 ハッチャーさんは不満を表明している。

 「AT&T社はそれから、SBC社を『追及』したらどうかとアドバイスした。SBC社のほうでは、被害者に犯罪の責任を負わせるAT&T社が悪いと言っている。つまり、この2つの巨大通信会社がお互いに責任をなすりつけあっていて、その板挟みになった私に請求書が突きつけられている。払わないと、自分の信用記録が駄目になってしまう」

 ハッチャーさん以外にも、同じ手口の不正利用の被害に遭って同様の体験をしている人たちがいる。

 テキサス州に住む写真家のメアリー・ラニヤンさんは次のように語っている。「クリスマスの後、AT&Tの不正利用を担当する部署から電話があり、ボイスメールの(応答)メッセージを調べるようにとのことだった。恐れていたとおり、私の応答メッセージは訛りのきつい男の声に変えられていて、『はい、うん、うん……はい……うん、うん……もちろん』という声が入っていた」

 ラニヤンさんによると、2回の通話料として7256ドル34セントが請求され、AT&T社は30%の割引を申し出たという。ラニヤンさんがこの申し出を断わると、請求は取り立て代理業者へと引き渡された。

 「この状況と闘うために、AT&T社とSBC社の数え切れないほどの従業員と話をしたが、この不正利用について話をしても、誰も驚いてはいないようだった。この不正行為が広く蔓延していて、毎日新しい標的が被害に遭っているという印象を、強く感じた」とラニヤンさんは述べた。

 しかしAT&T社側では、このような不正利用の被害は広範囲に及んでいないと述べている。

 「これらは孤立した事例で、私たちは顧客と自社ネットワークの安全性を確保するため、全力を尽くしている。しかし、このような事例で、自分のボイスメール・システムのセキュリティーを確保する最適の立場にいるのは顧客本人だということに疑問の余地はない」

 SBC社は声明の中で、同社が新規の顧客全員に対して、デフォルト設定のパスワードをすぐに変更するよう書面で警告していると述べた。

 ラニヤンさんとハッチャーさんは、デフォルト設定のパスワードを変えなかったことを認めている。しかし、警告の文面は、アカウント開設時に営業担当者と交わした話の内容と重複するように見える大量の情報にまぎれていたことが後になってわかったという。

 「私がパスワードを変えなかったのは、変えるようにという明確な指示がなかったからだ。消費者が多額の請求を受ける恐れのある問題について、適切な警告を与えなかった点で、両社に責任があると考えている。警告さえあれば、少なくとも被害から自身を守る手は打てたのだから」と、ハッチャーさんは語った。

 サンフランシスコの消費者団体『 http://www.consumer-action.org/ コンシューマー・アクション』の責任者、リンダ・シェリー氏もSBC社の書面による警告は不十分だとしている。またSBC社は、簡単に推測できないような、ランダムに生成したデフォルト設定パスワードを発行すべきだったとシェリー氏は言う。同社は現在、新規の企業顧客にランダムなパスワードを発行している。

 シェリー氏はまた、コレクトコールの承認に自動音声認識システムを使っているAT&T社についても厳しく非難している。

 「録音された応答メッセージによる承認だけで、AT&T社がコレクトコールの課金を認めてしまうなんて、全く信じられない話だ。第三者がかけてきた通話の料金負担は、実際に本人が電話に出て料金の支払いを承認したと確認が取れた場合にだけ、許可されるべきだ」とシェリー氏は怒りをあらわにした。

 AT&T社側は、「長年にわたって非常に高い信頼性が実証されている」自動音声認識システムを改める予定はない、と述べている。

 米MCI社もAT&T社のシステムと似た自動システムを利用している。米スプリント社では、コレクトコールの手続きには交換手が対応している。

 コンシューマー・アクションはAT&T社とSBC社に対して、不正利用行為の被害者が払った通話料を払い戻すよう求めている。

[日本語版:長谷 睦/湯田賢司]

日本語版関連記事

http://www.hotwired.co.jp/news/news/culture/story/20030408203.html 「オランダでファイル交換サービス」にだまされたニュースメディア

http://www.hotwired.co.jp/news/news/business/story/20030303102.html クレジットカード情報漏洩で問われる発行業者の姿勢

http://www.hotwired.co.jp/news/news/technology/story/20030225301.html AOL、ハッカーたちはやりたい放題

http://www.hotwired.co.jp/news/news/culture/story/20030224203.html 「ナイジェリア詐欺」で領事の殺人にまで発展

http://www.hotwired.co.jp/news/news/culture/story/20030207202.html 迷惑ツールバー『Xupiter』の作者は、ネット界のならず者親子?

http://www.hotwired.co.jp/news/news/technology/story/20030124301.html DSLモデムの脆弱性で、パソコンの電源を切ってもデータが盗まれる?

http://www.hotwired.co.jp/news/news/business/story/20021204107.html ID窃盗事件:信用調査会社の「信用できない」セキュリティー管理


WIRED NEWSのメール購読申込みは http://www.hotwired.co.jp/reception/index.html こちらへ


(WIRED)

http://headlines.yahoo.co.jp/hl?a=20030812-00000002-wir-sci