ビジネスとIT
1,400 ドルのデバイスで、何かがおかしいという兆候をほとんど示さずに、ユーザーを何日間も追跡することができます。
研究者らは、モバイルネットワークの最新LTE規格を使ってスマートフォンの正確な位置を特定する低コストの方法を考案した。これは、この規格は以前の仕様を狙った種類の攻撃を受けないという広く信じられていた認識を打ち砕く偉業である。
攻撃はLTE仕様を標的としており、年末までに約13億7000万人のユーザーベースが見込まれています。攻撃には、無料で利用できるオープンソースソフトウェアが動作する約1,400ドル相当のハードウェアが必要です。これらの機器は、LTE対応のすべての携帯電話の位置情報(半径約10~20メートル)を漏洩させる可能性があり、場合によってはGPS座標も漏洩する可能性があります。ただし、このような攻撃は、知識豊富な携帯電話ユーザーであれば検知できる可能性があります。検知がほぼ不可能な別の方法では、都市部において約1平方マイルの範囲内で位置情報を抽出できます。
研究者らは、携帯電話のLTEネットワークへの接続を切断させる別の種類の攻撃を考案しました。このシナリオを悪用すれば、デバイスをセキュリティの低い2Gおよび3Gモバイル規格に密かにダウングレードさせることができます。2G(GSM)プロトコルは、IMSIキャッチャー(Stingrayなど)と呼ばれる偽の基地局を用いた中間者攻撃の影響を受けやすいことが以前から知られています。2Gネットワークは、約0.6平方マイル以内の携帯電話の位置を明らかにする攻撃にも脆弱です。3G携帯電話にも同様の追跡欠陥があります。月曜日に発表された研究論文で説明されているこの新たな攻撃は、従来のネットワークよりも安全であると広く考えられてきたLTEネットワークを標的とした初めての攻撃と考えられています。
「LTEアクセスネットワークのセキュリティプロトコルは、加入者の追跡を防ぎ、ネットワークサービスの可用性を常に確保するための複数層の保護技術を約束する」と研究者らは「4G/LTEモバイル通信システムにおけるプライバシーと可用性に対する実践的な攻撃」と題された論文に記している。
「LTEアクセスネットワークのセキュリティプロトコルで発見した脆弱性が、LTE加入者に対する新たなプライバシーと可用性の脅威につながることを示した」と研究者らは記している。
LTEは、先行技術の一部と同様に、定期的に変化するTMSI(一時的なモバイル加入者識別番号)を特定の携帯電話に割り当てることで、その位置情報を隠蔽しようとします。ネットワークが携帯電話と通信する際、電話番号やその他の永続的な識別子ではなく、TMSIで識別します。これは、ネットワークトラフィックを監視している攻撃者が特定のユーザーの位置を追跡するのを防ぐためです。2G攻撃では、携帯電話に目に見えないテキストメッセージや極めて短い通話を送信することで、モバイルネットワークに携帯電話の位置を特定させることで、この仕組みを回避しました。この呼び出し要求により、研究者たちはTMSIと電話番号を結び付けることができました。
受動的な攻撃性と進化したNodeB
LTE攻撃を仕掛けた研究者たちは、Facebook、WhatsApp、Viberなどのソーシャルメッセージングアプリでも同様の呼び出しリクエストが送信できることを発見しました。しかも、追跡が行われていることは所有者にほとんど、あるいは全く気づかれません。例えば、受信者の友達リストに載っていない人物からFacebookメッセージが送信されると、そのメッセージは「その他」フォルダーに自動的に転送されます。しかし、裏では、攻撃者はネットワーク経由で送信されるデータを利用して、受信者のFacebookプロフィールとTMSIを紐付けることができます。そして、TMSIは携帯電話の位置を特定し、移動中の携帯電話を追跡するために利用されます。
一方、WhatsAppやViberで送信されたテキストメッセージは、まず標的の携帯電話の所有者から返信される必要があります。その後、攻撃者はアプリの入力通知機能を利用してページングリクエストをトリガーできます。研究者たちは、このようなエクスプロイトを「セミパッシブ」と呼んでいます。これは、これらのエクスプロイトは、ネットワークトラフィックの受動的な監視を主とし、完全な能動的な中間者攻撃で見られるようななりすましやトラフィック操作を伴わないためです。
クレジット: Shaik 他
クレジット: Shaik 他
攻撃者は、LTE用語ではeNodeB(evolved NodeBの略)と呼ばれる不正な基地局を操作することで、はるかに正確なアクティブ攻撃を仕掛けることもできます。研究者たちは独自のeNodeBを作成するために、LTE公式仕様のオープンソース実装であるOpenLTEを実行する、Universal Software Radio Peripheralと呼ばれるコンピューター制御の無線機を使用しました。無線ボードとアンテナを含む機器の総費用は約1,250ユーロ(約1,400ドル)だったと、フィンランドのアアルト大学の博士課程学生で研究者の一人であるRavishankar Borgaonkar氏はArsに語りました。
アクティブモードで動作するeNodeBは、ネットワークキャリアが提供する公式基地局を装い、LTE端末を強制的にその基地局に接続させます。攻撃者はトラブルシューティングルーチンを実行し、端末から近隣のすべての基地局と各基地局の信号強度を含む豊富な情報を取得させます。攻撃者はこれらのデータを用いて、端末の正確な位置を三角測量できます。場合によっては、不正なeNodeBを利用して端末のGPS座標を取得することも可能になります。
能動的な攻撃はより詳細な位置情報データを提供しますが、それには代償が伴います。2014年にラスベガスで開催されたセキュリティカンファレンス「Blackhat」でリリースされたIMSIキャッチャー検出アプリ「Darshak」や、Pwnie Expressなどの類似アプリは、本格的な攻撃を容易に検知できます。つまり、位置情報データは粗いものの、多くの攻撃者にとってセミパッシブな攻撃の方が好ましいと言えるでしょう。
セミパッシブ攻撃を魅力的にするもう一つの特徴があります。研究者が調査したLTEネットワークの少なくとも1つは、TMSIが変更されるまで最長3日間持続することを許可していました。つまり、このような攻撃を実行した攻撃者は、標的の出入りを数日間にわたって追跡することができ、その精度は半マイル程度です。メッセージングアプリが攻撃を阻止するための変更を試みる可能性は高いですが、ページングリクエストをトリガーする他の方法があったとしても不思議ではありません。
でも待って…まだある
この論文には、携帯電話がLTEネットワークに接続できないようにする別の攻撃も含まれています。この攻撃は、携帯電話が音声通話やデータ通信を受信できないようにするか、他の種類の脆弱性に対して脆弱な3G、あるいは2G技術を使用して接続するように仕向けます。いずれにせよ、このサービス拒否攻撃は、一般的にデバイスが再起動されるまで有効です。
研究者には、ベルリン工科大学の博士課程学生アルタフ・シャイク氏、アールト大学とヘルシンキ大学のN・アソカン氏、ヘルシンキ大学のヴァルテリ・ニエミ氏、ベルリン工科大学のジャン=ピエール・ザイファート教授も含まれています。彼らは、6月と7月に研究の影響を受けるすべてのメーカーと通信事業者に連絡を取り、製品とネットワークのセキュリティ強化に向けた改善策をいくつか提案したと述べています。研究者たちは、アムステルダムで開催されるBlackhat Securityカンファレンス、T2 Securityカンファレンス2015、そしてインターネット協会NDSSカンファレンスで、今回の研究結果を発表する予定です。攻撃に関する簡単な説明はこちらです。
前述の通り、悪用された脆弱性のいくつかはLTE仕様自体に存在します。つまり、LTE対応のメーカーや通信事業者はすべて、これらの攻撃に対して脆弱である可能性が高いということです。修正にはほぼ確実に時間と費用がかかりますが、少なくとも業界パートナーの間では、これらの脆弱性が顧客にとって具体的かつ差し迫った脅威であるという点についてほぼ全員が同意するでしょう。
ダン・グッドインはArs Technicaのシニアセキュリティエディターとして、マルウェア、コンピュータースパイ、ボットネット、ハードウェアハッキング、暗号化、パスワードなどの記事を担当しています。余暇にはガーデニング、料理、インディーズ音楽シーンの追及を楽しんでいます。サンフランシスコを拠点としています。MastodonのこちらとBlueskyのこちらでフォローしてください。SignalのDanArs.82までご連絡ください。
33件のコメント
