Easy-to-exploit Skype vulnerability reveals users’ IP address
2023/08/29 HelpNetSecurity — Skype モバイル・アプリの脆弱性が攻撃者に悪用され、ユーザーの IP アドレスが判明するという可能性が生じている。このセキュリティ脆弱性は、Yossi というセキュリティ研究者により発見されたものであり、彼から Microsoft への報告が行われ、ジャーナリストである Joseph Cox が効果的な悪用を証明した。現時点ではパッチが適用されていないため、脆弱性の詳細は公表されていないが、Joseph Cox は、「悪用は非常に簡単であり、リンクに関連する特定のパラメータを変更により実現できる」と述べている。
この脆弱性の悪用に成功した攻撃者は、受信者がメッセージを開いたときに IP アドレスを判別するための、リンク付きのメッセージを送ることが可能だ。この悪用により、ノンクリック攻撃が可能なるため、受信者によるリンクのクリックも不要だという。
当初、Microsoft は「この問題は、早急な対応が必要なセキュリティ脆弱性の定義には該当しない」と述べていたが、その後に「将来の製品アップデート」での対応が確認された。
Joseph Cox によると、この攻撃が機能するのは、受信者が Skype モバイル・アプリを使用している場合となるが、Mac ユーザーは安全だという。また Microsoft は、Skype for Business (Microsoft Office 365 の一部) には影響を及ぼさないとしている。
関連するリスク
この脆弱性は、政治的反体制派/ジャーナリスト/法執行官/家庭内暴力の被害者などの、自分の居場所を常に秘密にしておきたい個人を危険にさらす可能性がある。
IP アドレスは個人の正確な位置は明らかにしないが、地理的な位置 (国/市町村/郵便番号) は特定できるため、他の情報と組み合わせることで、ターゲットの実際の位置を特定するのに必要な、最終的なデータポイントになる可能性がある。
攻撃者に狙われている可能性のあるユーザーは、Microsoft がこの問題を修正するまで、Skype のモバイル・アプリの使用を控えるべきだ。Cox によると、VPN (Virtual Private Network) を使って Skype に接続しても、攻撃者から受信者の実際の IP アドレスを隠すことはできないという。
Skype と聞くと、ちょっと懐かしい感じがしますが、昨今の ChatGPT ブームをみると、まだまだ出番がありそうですね。そして Microsoft の対応ですが、いつものように、脆弱性ではないと最初は否定し、その後に改善に取り組むと、前言を翻すパターンのようです。早く、問題が FIX すると良いですね。
IoT OT Security News 
You must be logged in to post a comment.