SIMの脆弱性を利用したSMS個人監視、少なくとも2年悪用？スマホの種類に関係なく影響との報告

アイルランドのセキュリティ企業AdaptiveMobile Securityは、SIMカードに潜む脆弱性が個人を追跡および監視するために悪用されてきたことが判明したと報告しています。この「Simjacker」と名付けられた攻撃方法は、複数の国において少なくとも過去2年間にわたって使われてきたとのことです。

AdaptiveMobile Security所属の研究者らは12日（現地時間）に発表された報告書にて「この脆弱性は政府と協力して個人を監視する、特定の民間企業によって開発されたと確信している」と述べています。

Simjackerのしくみは、まず攻撃者が被害者の携帯電話にSMSを送信することが始まりです。このSMSはスマホ側ではなく、SIMカード内に常駐する「S@Tブラウザー」という古いソフトに命令を送るもの。そして被害者の電話に位置情報とIMEI（製造番号）を引き渡すよう指示すると、共犯者のデバイスにそれらを送信するといった流れです。

さらに悪質なことに、このSMSは受信ボックスにも残らないため被害者は気づきようがありません。それに加えてSIMカード側を乗っ取るため、デバイスの種類に関係なく機能してしまうとのこと。アップルやZTE、モトローラやGoogle、ファーウェイ、そしてSIMカードを搭載したIoTデバイスも含めて、ほぼ全てのメーカー製品で攻撃が有効だと確認されたそうです。

SimJacker攻撃はただ「理論的に可能」というわけではなく、毎日大量に発生が確認されているとのこと。ほとんどの場合は長期間にわたって1日に数回のみですが、一部は1週間の間に何百回も位置を追跡されていたと報告されています。その一方で、AdaptiveMobileは攻撃を行っている会社の名前や、目的が犯罪者やテロリストの追跡か、それとも反体制派やジャーナリストの監視に悪用されているのかは明かしていません。

Simjackerはテキストではなくバイナリコードを送信しているため、携帯通信キャリア側でネットワーク機器を構成すればブロックは可能とのこと。とはいえ、未だにS@Tブラウザーを使用して脆弱性を抱えている地域は30カ国、総人口は10億人にも及ぶとされ、通信施設への設備投資が難しい発展途上国では対応が遅れるのかもしれません。