米コンピュータ緊急事態対応チーム(US-CERT)は米国時間10月27日、「BlackBerry」のユーザーに対し、離れた場所から通話内容を盗聴することを可能にする新たなプログラム「PhoneSnoop」への注意を呼びかけた。
PhoneSnoopを稼働させるにはBlackBerryへのインストールが必須で、物理的にアクセス可能な人物が実行するか、ユーザーを騙してダウンロードさせる必要がある、とUS-CERTのアドバイザリには書かれている。
PhoneSnoopを作成したSheran Gunasekera氏は、インドネシアのジャカルタに拠点を置くHermis Consultingのセキュリティ責任者を務める人物で、作成の目的は実害を与えることではなく、BlackBerryに今なお存在する危険を警告することだと述べている。
PhoneSnoopは、誰でもBlackBerryユーザーの電話を盗聴するのに使用できる。ただし、PhoneSnoopはインストール後にデバイス上から姿を隠すわけではないので、ユーザーは容易に見つけられるはずだ、とGunasekera氏は述べている。
Gunasekera氏は10月27日のメールにこう書いた。「私の意図は、たとえBlackBerryが比較的安全なプラットフォームの1つであるにせよ、盗聴に使われる手段はまだ存在する、という認識を高めることだった。どれほど技術的な安全管理を施しても、ソーシャルエンジニアリングを通じて人的な要素が突破口として利用され得ることを強調したかった」
Gunasekera氏は、盗聴を防ぐ方法について質問してきたBlackBerryユーザーを支援するため、デバイス内に隠されたプログラムを検知して表示する無償ツール「Kisses」を10月27日にリリースしたと述べた。
Gunasekera氏は自身のブログで、PhoneSnoopがどのように機能するかを説明している。
「PhoneSnoopは、『PhoneListener』を設定し、特定の電話番号からの着信を待つ。特定の番号からの着信を検知すると、自動的に応答して『SpeakerPhone』モードにする」(Gunasekera氏)
US-CERTは、BlackBerryのユーザーに対し、信頼できるソースからのみアプリケーションをダウンロードすること、パスワードで端末にロックをかけて不要なソフトウェアを第三者がインストールするのを防ぐことを呼びかけた。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ
