5G本格サービス開始前に早くも見つかった脆弱性とは?:503rd Lap
2020年に本格サービスが開始されるといわれる「第5世代移動通信システム」、いわゆる5G。超高速、超大容量、超大量接続、超低遅延が大きな特徴で期待される。だが深刻な脆弱(ぜいじゃく)性が見つかってしまった。
2019年の現時点で、スマホやケータイといったモバイルデバイスの通信を担っているのが「第4世代移動通信システム」、いわゆる4Gだ。これが5Gになると、より大量のデータを高速でやりとりできるだけでなく、本格的な普及を始めたIoTデバイスが常時通信を続けても問題が起きない強固な仕組みも備えている。
期待に満ちた5Gだが、深刻な脆弱(ぜいじゃく)性が見つかった。それは4Gにも該当するという。一体どのようなものか?
脆弱性は、米パデュー大学とアイオワ大学の研究者が発見し、「Torpedo」と名付けられた。5Gや4Gを使って通信するデバイスの通話が傍受され、盗聴されたり位置情報を追跡されたりする可能性があるという。
研究チームによれば「ページングプロトコル」に原因がある。スマホなどのデバイスに電話やメールが届く前に、データを受け取ったキャリアがデバイスを呼び出す仕組みだ。
これを悪用し、ごく短い時間に発信とキャンセルを繰り返し、デバイスに着信を伝えずに内部のページングメッセージだけを作動させて確認することで、デバイスの位置を特定できるのだ。攻撃者が内部のページングメッセージを把握することで、ページングチャネルをハイジャックしたり、メッセージをブロックしたり、ニセの緊急通報を送信したりと、やりたい放題になる。
攻撃はわずか200ドル(約2万2000円)の機材をそろえるだけで、特に専門知識がなくても可能だ。現時点でAT&T、Verizon、T-Mobile、Sprintといった米4大キャリアがTorpedoの影響を受けるとされるが、実際には世界中のキャリアで脆弱性が問題になると懸念される。
これだけではない。ベルリン工科大学、スイス連邦工科大学チューリッヒ校、ノルウェー産業科学技術研究所による研究チームも別の脆弱性を発見した。「Authentication and Key Agreement(AKA、認証と鍵合意)」というスマホが安全に通信するためのプロトコルに問題がある。
こちらは「Stingray(スティングレイ)」と呼ばれるISMI(国際移動体加入者識別番号)キャッチャーが必要だ。通話傍受や位置情報を追跡する“グレー”な機器だが、米政府機関がテロ防止や犯罪捜査などにも使っている。
プライバシーを侵しかねないと、5GスマホはIMSIキャッチャーに対する保護機能を備える。しかしAKAプロトコルの脆弱性を突くことで5Gデバイスでも情報が盗まれる可能性が出てきた。
今後はキャリアやメーカーが協力して対応するだろう。本格サービスが始まる前に脆弱性が判明するとは幸先が悪いというべきか、それとも早めに見つかってよかったというべきか。
上司X: 次世代の移動体通信システム「5G」に脆弱性が見つかったという話だよ。
ブラックピット: まあ、仕方ない話でしょう。
上司X: でもサービス開始前だぜ。何か不安になってしまうよ。
ブラックピット: いやいや、サービス開始前だからいいんじゃないですか。直してからサービスを開始する余裕があるってことでしょう?
上司X: キミにしてはポジティブで前向きな意見じゃないか。
ブラックピット: サービス開始日も対応機器の発売日も決まっていない状況で何を心配するっていうんですか。それこそネガティブシンキングですよ。
上司X: ぐぬぬ、正論で反論しにくい。
ブラックピット: とにかく、そんなに未来を悲観しなくていいと思うんですよ。あれだけ脆弱性がどうとか言われたIoT機器だってどんどん普及しているわけですし。何とかなりますよ、きっと。
上司X: その理屈はよく分からないな。本格的にサービスが始まった後の悲劇にならなくて良かった、と思っておくことにしようか。
ブラックピット(本名非公開)
年齢:36歳(独身)
所属:某企業SE(入社6年目)
昔レーサーに憧れ、夢見ていたが断念した経歴を持つ(中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった)。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。
上司X(本名なぜか非公開)
年齢:46歳
所属:某企業システム部長(かなりのITベテラン)
中学生のときに秋葉原のBit-INN(ビットイン)で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR(でも中古らしい)。人懐っこく、面倒見が良い性格。
Copyright © ITmedia, Inc. All Rights Reserved.