一部SIMカードの脆弱性をセキュリティ研究者が警告--携帯電話の乗っ取りが可能に

　セキュリティ会社Security Research Labsは、一部の携帯電話で使用されているSIMカードに存在する脆弱性を悪用すれば、マルウェアを感染させたり、電話を盗聴したりすることができると警告している。

　ベルリンに拠点を置く同社の創立者であるKarsten Nohl氏はThe New York Timesに対して、SIMカードの暗号化技術に関わる欠陥を発見したと語った。同氏によると、攻撃者はこの欠陥を利用することで、SIMカードに格納されている56ビットのデジタル鍵を取得したうえで、カードを改ざんできるようになるという。なお同氏は、この欠陥によって最大7億5000万台にものぼる携帯電話が影響を受ける可能性があり、通話の盗聴や、不正な購入、携帯電話の所有者へのなりすましが可能になると警告している。

Karsten Nohl氏
提供：Seth Rosenblatt/CNET

　Nohl氏は「われわれは、あなたの携帯電話の機能を一切損なうことなく、完全に独立して動作するソフトウェアを遠隔地からインストールできる」と警告するとともに、そういった作業すべては普通のPCを用いても2分もかからなかったと述べている。また同氏は「われわれはあなたを監視できるし、通話の暗号鍵を知っている。また、あなたのSMSを読むことができる。さらに、監視するだけではなく、SIMカードのデータを盗んで携帯電話の識別情報を取得し、あなたのアカウントに課金することもできる」とも語っている。

　今回発見された脆弱性は、1970年代にIBMが開発し、現在およそ30億台の携帯電話で日常的に使用されている暗号化手法「DES」（Data Encryption Standard）に存在しているという。この暗号化手法は過去10年の間に強化されてきているものの、数多くの携帯電話はいまだに旧来の規格を使用している。

　同氏によるテストでは、欧州と北米の1000枚のカードにこの欠陥の兆候が見られたという。同氏はこの脆弱性の詳細について、ラスベガスで米国時間7月27日から開催される「Black Hat」セキュリティカンファレンスで発表する予定にしている。また、携帯電話の業界団体であるGSM Associationには既に、2年間にわたる自らの研究の成果を伝えてあるという。

　GSM Associationの広報担当者Claire Cranton氏がThe New York Timesに語ったところによると、この研究結果については、旧来の規格をいまだに使用しているメンバー企業に既に通知してあるという。

　Cranton氏は声明で「われわれは、この研究の示唆するところを検討してきており、影響を受けるおそれのある通信キャリアや、SIMベンダーに対してガイダンスを提供できている」と述べている。