セキュリティ会社Security Research Labsは、一部の携帯電話で使用されているSIMカードに存在する脆弱性を悪用すれば、マルウェアを感染させたり、電話を盗聴したりすることができると警告している。
ベルリンに拠点を置く同社の創立者であるKarsten Nohl氏はThe New York Timesに
対して、SIMカードの暗号化技術に関わる欠陥を発見したと語った。同氏によると、攻撃者はこの欠陥を利用することで、SIMカードに格納されている56
ビットのデジタル鍵を取得したうえで、カードを改ざんできるようになるという。なお同氏は、この欠陥によって最大7億5000万台にものぼる携帯電話が影
響を受ける可能性があり、通話の盗聴や、不正な購入、携帯電話の所有者へのなりすましが可能になると警告している。
Karsten Nohl氏
提供:Seth Rosenblatt/CNET
Nohl氏は「われわれは、あなたの携帯電話の機能を一切損なうことなく、完全に独立して動作するソフトウェアを遠隔地からインストールできる」と警告す
るとともに、そういった作業すべては普通のPCを用いても2分もかからなかったと述べている。また同氏は「われわれはあなたを監視できるし、通話の暗号鍵
を知っている。また、あなたのSMSを読むことができる。さらに、監視するだけではなく、SIMカードのデータを盗んで携帯電話の識別情報を取得し、あな
たのアカウントに課金することもできる」とも語っている。
今回発見された脆弱性は、1970年代にIBMが開発し、現在およそ30億台の携帯電話で日常的に使用されている暗号化手法「DES」(Data
Encryption
Standard)に存在しているという。この暗号化手法は過去10年の間に強化されてきているものの、数多くの携帯電話はいまだに旧来の規格を使用して
いる。
同氏によるテストでは、欧州と北米の1000枚のカードにこの欠陥の兆候が見られたという。同氏はこの脆弱性の詳細について、ラスベガスで米国時間7月
27日から開催される「Black Hat」セキュリティカンファレンスで発表する予定にしている。また、携帯電話の業界団体であるGSM
Associationには既に、2年間にわたる自らの研究の成果を伝えてあるという。
GSM Associationの広報担当者Claire Cranton氏がThe New York Timesに語ったところによると、この研究結果については、旧来の規格をいまだに使用しているメンバー企業に既に通知してあるという。
Cranton氏は声明で「われわれは、この研究の示唆するところを検討してきており、影響を受けるおそれのある通信キャリアや、SIMベンダーに対してガイダンスを提供できている」と述べている。
※コメント投稿者のブログIDはブログ作成者のみに通知されます