サイバーセキュリティ研究者は、現代のスマートフォンで使用されているeSIM技術の脆弱性を悪用する新たなハッキング手法を発見し、ユーザーが重大なリスクにさらされていることを明らかにしました。

この問題は、Kigen eUICCカードに影響します。アイルランドの同社ウェブサイトによると、2020年12月時点でIoTデバイスにおいて20億枚以上のSIMが有効化されています。

この発見は、AG Security Research社の研究機関であるSecurity Explorationsによるものです。Kigenはこの報告に対し、3万ドルの報奨金を授与しました。

eSIM（組み込み型SIM）とは、デバイスに直接組み込まれたデジタルSIMカードで、Embedded Universal Integrated Circuit Card（eUICC）チップにソフトウェアとしてインストールされています。

eSIMを利用することで、ユーザーは物理的なSIMカードを必要とせず、通信事業者のプランを有効化できます。eUICCソフトウェアは、オペレータープロファイルの変更やリモートプロビジョニング、SIMプロファイルの管理を可能にします。

「eUICCカードは、いわゆるeSIMプロファイルをターゲットチップにインストールすることを可能にします」とSecurity Explorationsは述べています。「eSIMプロファイルは、モバイル契約のソフトウェア上の表現です。」

Kigenが発表した勧告によると、この脆弱性はGSMA TS.48 Generic Test Profile（バージョン6.0以前）に根本的な原因があり、これは無線適合性試験用のeSIM製品で使用されているとされています。

具体的には、この欠陥により、未検証で悪意のあるアプレットのインストールが可能になります。先月リリースされたGSMA TS.48 v7.0は、テストプロファイルの使用を制限することでこの問題を緩和しています。TS.48仕様のその他すべてのバージョンは廃止されました。

「攻撃を成功させるには、特定の条件が組み合わさる必要があります。攻撃者はまずターゲットとなるeUICCへの物理的アクセスを得て、公開されている鍵を使用しなければなりません」とKigenは述べています。「これにより、攻撃者は悪意のあるJavaCardアプレットをインストールできるようになります。」

さらに、この脆弱性によりKigen eUICCの識別証明書を抽出できる可能性があり、それによってモバイルネットワークオペレーター（MNO）から任意のプロファイルを平文でダウンロードしたり、MNOの秘密情報にアクセスしたり、プロファイルを改ざんして任意のeUICCにインストールしてもMNOに検知されないようにすることが可能になります。

Security Explorationsは、今回の発見は2019年の自身の先行研究に基づくものであり、その際にはOracle Java Cardに複数のセキュリティ脆弱性が発見され、カード内に永続的なバックドアを仕込む道が開かれていたと述べています。これらの欠陥の1つは、Java Card技術に依存するGemalto SIMにも影響を及ぼしていました。

これらのセキュリティ欠陥は、「基盤となるJava Card VMのメモリ安全性を破壊」し、カードのメモリへの完全なアクセスを得たり、アプレットファイアウォールを突破したり、場合によってはネイティブコードの実行さえ可能にします。

しかし、Oracleはその潜在的影響を過小評価し、「セキュリティ上の懸念」はJava Card VMの製品には影響しないと示しました。Security Explorationsは、これらの「懸念」が今や「実際のバグ」であることが証明されたと述べています。

これらの攻撃は実行が困難に思えるかもしれませんが、実際には有能な国家レベルのグループにとって十分に実現可能です。攻撃者はeSIMカードを侵害し、ステルス性の高いバックドアを仕込むことで、すべての通信を傍受できる可能性があります。

「ダウンロードされたプロファイルは、オペレーターがプロファイルを制御できなくなる（リモート制御や無効化ができなくなる等）ように改ざんされる可能性があり、オペレーターにはプロファイルの状態が完全に偽装されて見えたり、すべての活動が監視対象となる場合もあります」と同社は付け加えています。

「我々の見解では、単一の破損したeUICCや単一のeUICC GSMA証明書の窃取によって、任意のMNOのeSIMを（平文で）覗き見ることができる能力は、eSIMアーキテクチャにおける重大な弱点を構成しています。」