サイバーセキュリティ企業Eneaの報告によると、ある監視企業が新たな攻撃手法を用いて、シグナリングシステム7(SS7)プロトコルの保護を回避し、通信事業者を騙してユーザーの位置情報を開示させていることが判明しました。
この攻撃手法は、おそらく2024年第4四半期から使用されており、SS7コマンド(PDU)を通じてTCAP(トランザクション機能アプリケーション部)の操作に依存しています。これらのコマンドは、保護システムやファイアウォールによって内容がデコードされないような構造になっています。
TCAPメッセージは情報要素(IE)と呼ばれる構成要素を含み、これには内容(伝達される情報)、タグ(内容の解釈を制御)、長さ(内容の長さを指定)の3つのフィールドがあります。
SS7システムにおいて、最も重要なTCAPコンポーネントの1つがInvokeであり、これは受信側のTCAP要素でプロセスを開始する操作を表します。
Eneaによると、IMSI(国際移動加入者識別番号)フィールドを含むIEのエンコーディングが、PSI(ProvideSubscriberInfo)Invokeで変更されているTCAPの異常が観測されたといいます。
GSM-MAPコマンドであるPSIは、ターゲットとなる携帯加入者の位置情報をコアネットワーク要素から要求することで、位置追跡に広く利用できます。
Eneaの説明によれば、モバイルオペレーターは、加入者がローミングしている際の課金や移動制御のためにPSIを使用しますが、ホームオペレーター以外からのコマンドでホーム加入者の情報取得を試みる場合は、これらのコマンドをブロックすべきです。
「モバイルオペレーターが許可すべきPSIとブロックすべきPSIを判断する重要な方法は、PSIパケット内のIMSIに基づいています。基本的に、送信元がホームネットワークでなく、IMSIがホームネットワークのものであれば、そのPSIはブロックされるべきです」とEneaは述べています。
広告。スクロールして続きをお読みください。
このサイバーセキュリティ企業は、IMSIを含むタグコードを拡張する手法を用いてPSIコマンドが改ざんされ、正当なPSIによる加入者位置データ要求かどうかのモバイルオペレーターのチェックが破られている実際の攻撃を発見しました。
「拡張されたタグの存在により、シグナリングセキュリティチェックを行っていた要素によってIMSIフィールドが無視されたと考えています。ターゲットとなるIMSIが事実上『隠され』、どのチェックにも使用されませんでした。その結果、ホームネットワーク加入者に対する位置追跡攻撃が許可されてしまいました」とEneaは指摘しています。
これらの攻撃は監視企業から発信されており、少なくとも昨年末から、シグナリングセキュリティ防御を回避するためのテストスイートの一部として継続的に行われているといいます。
「この攻撃手法が世界中でどれほど成功しているかについての情報はありません。その成功はベンダーやソフトウェア固有であり、一般的なプロトコルの脆弱性ではありませんが、スイートの一部として利用されていることから、一定の価値があると考えられます」とEneaは述べています。
サイバーセキュリティ企業は、これらの攻撃が一部のオペレーターのSS7ソフトウェアデコーディングスタックが拡張されたTCAPコードを理解するための必要なロジックを実装していなかったこと、またSS7シグナリングセキュリティソリューションが、デコードできないフィールドに対してより寛容な古いスタック上に構築されていたことが原因で可能になったと考えています。
「このような攻撃や関連する攻撃に対抗するため、Eneaは、既知の無害なもの以外のすべての不正なPDU構造をブロックするか、IMSIが期待されるMAP PDUでデコードされたPDU内にIMSIが見つからない場合はブロックすることを推奨します」と同社は述べています。
関連記事: eSIMのハッキングでクローン作成やスパイ行為が可能に
関連記事: LTEや5Gの脆弱性により都市全体が携帯通信から遮断される可能性
翻訳元: https://www.securityweek.com/surveillance-firm-bypasses-ss7-protections-to-retrieve-user-location/