出典:Iurii Golub(Alamy Stock Photo経由)
組み込み型加入者識別モジュール(eSIM)カードのシステム的な脆弱性により、数十億台のデバイスがスパイ行為、SIMスワップ、その他の脅威にさらされています。
世界中の数十億人の携帯電話ユーザーが従来のSIMカードからeSIMへと移行しています。eSIMは、1台のデバイスで複数の携帯キャリアの契約を利用できるようにします。従来のSIMカードと異なり、物理的に取り外したり交換したりすることはできず、より高いセキュリティを謳っています。
しかし、新たな研究によると、実際には重大なセキュリティリスクをもたらしていることが示唆されています。Kigen製の組み込み型ユニバーサルICカード(eUICC)カード(世界中で20億台のデバイスに搭載)を使い、Security Explorationsの創設者兼CEOであるAdam Gowdiak氏は、攻撃者が理論上eSIMを侵害してユーザーをスパイしたり、サービスを操作したり、モバイルネットワーク事業者(MNO)から貴重な情報を盗み出すことができることを発見しました。
eSIMのハッキング
6年前、Gowdiak氏はOracleの「Java Card」、リソースが限られたデバイス上で動作するチップ向けのアプリケーション環境に脆弱性を発見しました。Oracleのマーケティング資料によれば、毎年約60億台のJava Card対応デバイスが製造されているとのことです。
この問題は「型の混乱(type confusion)」であり、Java Cardの仮想マシン(VM)実装におけるバイトコード検証の欠如が原因でした。VMはチップ上でアプレットと呼ばれるアプリケーションを実行するランタイムエンジンです。当時、Oracleはこの問題を「該当しない」と判断し、対応しませんでした。これに対し、Gowdiak氏は「彼らの説明は筋が通っていない」と記しています。
最近、Gowdiak氏はこの未解決の欠陥を利用してeSIMのセキュリティを検証しました。これにはまず、Kigen製eUICCへの物理的なアクセスが必要で、eSIMをモバイルネットワークプロバイダーに認証する秘密鍵を盗み出しました。そこから、MNOから任意のeSIMプロファイルを平文でダウンロードでき、それらにはカードにアプレットをインストールするために必要な鍵が含まれていました。これらの鍵と、Java Cardの検証不足のおかげで、セキュリティアラートを一切発生させずに、OTA(無線経由)で悪意のあるアプレットをインストールすることができました。
この脆弱性には共通脆弱性識別子(CVE)は付与されませんでしたが、共通脆弱性評価システム(CVSS)で「中程度」の6.7点が与えられました。
Gowdiak氏が事例として使用したKigen社のチップは、その後「数百万台」へのパッチをリリースしたとSecurity Explorationsは述べています。同社は数十億台をサービスしていることから、Dark ReadingはKigenにパッチ適用プロセスについて追加情報を求めています。
重要なのは、Java Cardは他のベンダーのeSIMにも基盤技術として使われていることです。「どれだけのeSIMが実際に脆弱なのかは分かりません」とGowdiak氏は認めています。「GSMAの仕様要件により全てのeSIMがJavaCardをサポートする必要があり、Kigenは独自のJavaCard VMを開発していて、それが脆弱だったことを考えると、全てが脆弱だと考えるのが妥当でしょう。」
Dark Readingは本記事についてOracleにもコメントを求めています。
国家レベルのリスク
SIMカードは常に深刻なサイバー攻撃の温床となってきました。理論的には、攻撃者はeSIMを侵害して使用不能にしたり、アプレットとして永続的なマルウェアを密かに埋め込んだりすることができます。また、eSIMをクローンし、被害者宛てのテキストや通話を受信することも可能です。このようなアクセスを得た脅威アクターは、被害者の通信をスパイしたり、2要素認証(2FA)コードを傍受して、機密アカウントへのさらなる侵害に利用することも考えられます。
現実的には、Gowdiak氏は一般的なサイバー犯罪者が彼のような攻撃を実行するのは難しいと評価しています。しかし、高度な能力を持つ国家レベルの組織であれば、誰の通信でもスパイできる新しい未修正の手法を大いに利用するかもしれません。
実際、高度な攻撃者がこの脆弱性を利用してさまざまな創造的な攻撃を仕掛ける可能性があります。攻撃者はeSIMになりすましてMNOと通信し、情報を盗むこともできます。また、Gowdiak氏の研究を受けて、Hacker Newsフォーラムのユーザーmiki123211は、1つのチップに複数のプロファイルが共存することであるシナリオを提案しました。「例えば中国に行くとき、安価なデータ通信のために中国のeSIMプロファイルをサブとしてインストールしたとします。中国政府がキャリアと協力すれば、そのプロファイルを使ってあなたのアメリカのAT&Tの鍵を抜き出すことができるでしょう」と彼は書いています。「つまり、このような攻撃で中国側があなたの全通信を傍受できることになります。」
Gowdiak氏は、これについて「1つの不正なeSIMプロファイルがチップ全体を破壊し、他のキャリアのプロファイルすべてのセキュリティに影響を与える可能性がある」と述べています。
翻訳元: https://www.darkreading.com/endpoint-security/esim-bug-millions-phones-spying-takeover