携帯電話の電話番号さえあれば、ハッカーはあなたの通話を盗聴し、テキストメッセージを読み、位置を追跡できる――。米ZDNetの姉妹報道機関であるCBS Newsが2年の制作期間を経て米国時間4月17日に放映したドキュメンタリー「60 Minutes」は、スマートフォン側の保護機能の強化にもかかわらず、膨大な数のスマートフォンユーザーが盗聴や監視をされやすい状況にあることを暴き出した。
盗聴はSignaling System No. 7(SS7)における不具合を悪用することで可能になる。SS7はあまり知られていないが、電話のネットワーク間の情報を仲介する重要なシステムだ。テキストメッセージを送ったり電話をかけたりするとき、その仲介処理が行われている。
- TechRepublic Japan関連記事:今必要なのはセキュリティコックピット--再注目されるSIEMの意義
- インシデント発生時に迅速、正確に原因を突き止める“第3世代”SIEM--EMCジャパン
- スキーマ不要でログを収集、検索、分析するSIEMの次世代性--Splunk
- 検知後の行動も定義、“グレー”な振る舞いを見極めるSIEMの分析力--HPE
SS7を標的とすることで、攻撃者は同システムを通過するほぼすべてのものを見ることができるという。
この脆弱性を発見したのはドイツのセキュリティ研究者Karsten Nohl氏だ。2年以上前に独ハンブルグのハッカー集会で報告した。Nohl氏によると、脆弱性は現在でも存在するという。規制当局の連邦通信委員会(FCC)は当時、脆弱性について調査を開始するとしていた。
問題は、スマートフォンユーザーができることはほとんどないという点だ。データを暗号化するアプリを利用することぐらいしか対策はない。
セキュリティ研究者のNicholas Weaver氏はツイートで、「Signal」、「WhatsApp」、Appleの「iMessage」などのアプリは、「土台のネットワークが信用できない」ため、デバイス間でやりとりされるメッセージを暗号化していると述べている。
暗号化専門家でジョンズ・ホプキンス大学教授のMatthew Green氏は、「セルラー網のセキュリティを信用すべきではない」とツイートした。
もしハッカーが盗聴の方法を知っているのなら、米国の諜報機関と敵対する他の諜報機関も知っていると思ってよいだろう。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
