あるドイツの研究者によれば、現在ほとんどの携帯電話において利用されている「SIMカード」において、特に古いセキュリティ規格を用いているタイプのカードで、なりすましや乗っ取りが可能なセキュリティ上の脆弱性が存在するという。簡単なテキストコマンドを使ってシステムを乗っ取ることができ、その潜在的な影響範囲は7億5000万台の携帯電話にも及ぶという。
同件はNew York Timesが7月21日(現地時間)に報じている。過去2年間の研究の末に脆弱性を発見したのはドイツのベルリンに拠点を構えるSecurity Research Labs創設者のKarsten Nohl氏。それによれば、第三者がSIMカードに用いられている56桁のデジタル暗号鍵を取り出し、通話を盗み聞きしたり、モバイルペイメントサービスを使って買い物を行ったり、あるいは本来の携帯電話所有者を装って行動することが可能になるという。乗っ取り自体はSIMカードに対してSMSによるテキストメッセージを送信するだけとシンプルで、このようにして送り出したウイルスを使ってこうした乗っ取り行為を可能としているようだ。実際、同氏はPCを使った簡単なデモでわずか2分程度で乗っ取りを完了させている。
同氏によれば、これは旧タイプのSIMにおいて古い暗号規格のDESを用いていることが原因で、実際に2年以上利用を続けている自身や知り合いのサンプル携帯1000台をかき集めてテストしたところ、およそ4分の1にこの脆弱性が存在していたという。全世界60億台の携帯電話のうちの半分はこのDESを暗号規格として利用しており、DESを使っているSIMカード全体のうちの4分の1にこの脆弱性があると同氏は見込んでいる。つまり全世界8分の1の携帯電話である7億5000万台にこの脆弱性が存在するというわけだ。
なお、現在の最新SIMカードではトリプルDES (DES3)以上の規格を利用しており、前述のような脆弱性はいまのところ存在していないとみられる。また、なりすまし等を防ぐため、トリプルDESではSIMカード固有の番号を通信に用いている。以上の結果を踏まえ、Nohl氏は研究結果を通信キャリアの業界団体であるGSM Association (GSMA)に報告しており、より詳細な情報は8月1日に米ネバダ州ラスベガスで開催されるBlack Hat Conferenceで公開する予定だ。
関連記事
・米Lookout、Google Glassが乗っ取り被害にあう深刻な脆弱性を発見 (2013年07月18日)
・米Bluebox、Android端末に深刻なバグを発見 - 最大で9億台に影響 (2013年07月05日)