ハクソク

世界を動かす技術を、日本語で。

悪い接続:隠れた監視者によるグローバルな通信の搾取

1日前原文(citizenlab.ca)

概要

  • グローバルな監視活動の実態を明らかにした調査報告
  • 3G・4G信号プロトコルやSIMカード悪用による高度な追跡手法
  • オペレーターID偽装や国際通信インフラの悪用が確認
  • 長期間にわたり同一インフラ再利用、監視活動の継続性を示唆
  • モバイル通信の設計上の脆弱性と運用上の課題を指摘

主要発見:多角的な監視手法とグローバルな通信インフラ悪用

  • 複数の監視アクターが3G/4G信号プロトコルとSMS経由のデバイス直接攻撃を組み合わせた追跡活動
  • SIMカード悪用:隠しコマンド付き悪性SMSで位置情報抽出、端末を秘密追跡ビーコン化
  • 高度な専用ツール:オペレーターID偽装、信号プロトコル操作、特定ネットワーク経路誘導による防御回避と発信元隠蔽
  • グローバルなネットワークインフラ:UK、Israel、China、Thailand、Sweden、Italyなど世界各国の通信インフラ利用
  • 長期的なキャンペーン:Cellusysのテレメトリで、同一オペレーターIDの複数年再利用・監視活動の持続性を確認
  • インターキャリア運用の脆弱性:信頼経路を利用した監視メッセージの転送とネットワーク侵入

背景:モバイル通信の構造的脆弱性と監視エコシステム

  • 国際ローミングとサービス効率重視の設計が、セキュリティより利便性・収益性を優先
  • **SS7(3G)・Diameter(4G/5G)**両プロトコルの混在運用による追加リスク
  • SS7は認証・検証・暗号化機能が欠如し、設計上の信頼モデルに依存
  • Diameterも実運用でセキュリティ機能未実装が多く、SS7同様の脆弱性が残存
  • GSMA IR.21などの業界情報を悪用し、正規通信に偽装した攻撃が可能

調査手法・分析アプローチ

  • Cellusys、Telenor Linx、Roaming Audit、P1 Security等と連携した多面的調査
    • 信号ログ、パケットキャプチャ、ルーティングデータ、DNS/BGP情報の相関分析
  • 監視コマンド検出:3G/4G信号における既知の監視用コマンドの反復・パターンを解析
  • キャンペーンパターン特定:短期間・複数オペレーター間の協調行動を抽出
  • 標的検証:IMSI等の一貫したターゲティングをCellusysが確認
  • アクターの指紋化・クラスタリング:非標準メッセージ、ID再利用、ルーティングの一貫性で分類
  • インフラマッピング:IR.21、ASN、BGP、DNS等の外部データで攻撃経路を追跡
  • 履歴相関:過去のテレメトリと照合し、長期的な監視活動・インフラ再利用を証明

限界・帰属の課題

  • オペレーターIDの観測=直接関与ではない:第三者やリース経由での悪用可能性
  • 分析の焦点はインフラ悪用の実態であり、特定国家・組織への直接的な帰属は控える
  • 商用監視プラットフォームによる国家支援型インテリジェンス活動の可能性を示唆

モバイル通信の信頼崩壊と今後の課題

  • グローバル通信基盤の設計自体に根本的なセキュリティ欠陥
  • 信頼モデルのまま運用継続:認証・検証の徹底欠如
  • 国家規制当局・通信事業者・政策立案者に対し、説明責任・監督・グローバルセキュリティ強化の必要性を提起

IR.21とは

  • GSMAが共有する各オペレーターの技術・運用仕様書
    • ネットワークコード、シグナリングアドレス範囲、割当、相互接続情報等を記載
  • 攻撃者がIR.21情報を悪用し、正規通信を装った攻撃メッセージ生成が可能

まとめ:グローバル監視の現状と構造的リスク

  • 通信インフラの設計・運用の本質的な脆弱性が、国際的な監視活動を容易化
  • 監視アクターの多様化・長期化と、インフラ再利用による追跡困難性
  • 抜本的なセキュリティ対策・運用見直しの必要性を強調

Hackerたちの意見

記事は広告で囲まれていて、Citizen Labの元のソースからのブログスパムだね。
そうそう、URLを https://www.haaretz.com/israel-news/security-aviation/2026-0... から、参照しているレポートに変更したよ。提出したURLのリンクは上のテキストに残しておくね。
https://archive.ph/0QYbN
すごく興味深いね。DiameterやSS7については、専門家がたくさんいるし。
SS7やMAPみたいなレイヤー化されたプロトコルには、ほぼゼロのセキュリティ対策しかないから、これをエクスプロイトとは呼べないよね。
記事がそう言ってるように、エクスプロイトと呼ぶこともできるけど、それは別の意味だね。
これは結構面白い読み物だったけど、いくつかの主張はかなり状況証拠的に感じた。コメントが小説みたいになりそうだったけど、みんなをその苦痛から救うために要約するよ。俺は無線通信のキャリアをスタートしたんだけど、Diameterルーティングやローミングパートナーとの技術的な問題に直接関わってた。SIMカードのことは専門外だから、そこについてはコメントしないけど、レポートが見落としてる重要な点がいくつかあると思う。まず、携帯ネットワークがユーザーを追跡する方法について。GPS座標のセットを返すわけじゃないんだ。携帯ネットワークには解決すべき問題があって、どの無線でデバイスが着信(またはSMSやパケット)でアイドルから起きるべきかを伝えるかなんだ。これを全く追跡できなかったら、国全体に全ての通話を通知するために帯域幅が使われちゃう。一方で、これを全ての無線で追跡できるけど、そうするとネットワーク全体がデバイスに到達するための最適な無線の変更についての信号トラフィックで埋まっちゃう。風に揺れる木が常に更新を引き起こすみたいな感じだね。だから、ネットワークをエリアに分けて、デバイスが動いて新しいエリアのタワーからビーコンを見たら、ネットワークに位置情報を更新するように伝えるんだ。Cell IDという少し正確な記録もあるけど、デバイスはそれを常に最新に保つ必要はない。だから、レポートでCell ID/E-UTRAN Global Cell IdentityやLAC/TAIについての言及があるとき、これがその識別子に結びつく概念なんだ。Cell IDをGPS位置にマッピングできるデータベースもあって、それをタワーへの割り当てと考えることができるけど、いくつかの偏差がある(無線の遠隔地など)。だから、ほとんどの場合、デバイスのGPS位置を得るのではなく、タワーを得ることになる。これはまだプライバシーに関する影響があって、無線ネットワークがより密になって高速化するにつれて、時間とともにより正確になるけど、実際のデバイスの位置からは数十キロ離れているかもしれない。結局、小説みたいになっちゃったけど、短くしないとね。DiameterプロトコルやGPRSのDNS動作に関する証拠のいくつかは、レポートを読むときに結論づけるほど強いとは思えない。特に印象的だったのは、DNS NXDomainが情報源を隠すためのトレードクラフトの指標として何度も言及されていること。これは、クエリを行うために使われるソースネットワークが他のプロバイダーとローミング契約を結んでいない場合、ローミングDNSでの期待される動作だと思う。GSMAのDNS仕様はちょっと変で、何度も痛い目にあったけど、インターネットで期待されるようなDNS関連の期待は持ってないんだ。オープンなインターネットでは、comからycombinatorへの委任を見て、それをycombinatorにたどることが期待されるけど、ローミング交換ネットワークではそうじゃない。ファイアウォールや回答は、契約があるときだけ開かれるから。このプロバイダーが小さい場合、契約があまりないかもしれないし、NXDomainやタイムアウトが返ってくるのはおかしくない。これは、ルートやプロバイダーの証明書が詳細に入っていないかによるけど、そこは詳しく触れてない。Diameterに関するいくつかの発言も、技術を完全に理解していないように感じたし、トレードクラフトへの直接的なリンクを示唆している。Origin-HostとRoute-Record 1が同じであることは、標準の技術的違反かもしれないけど、影響はなくて、ネットワークオペレーターが内部の詳細を世界に広告したくないだけのことだって説明できる。IPXプロバイダーが領域とホストの不一致を検出できなかったことも、期待されるかどうかも分からないし、どうやってやるのかも分からないけど、分析の観点からは、敵がそれを明らかにした明らかなミスだね。でも、プロバイダー間で十分な情報が交換されていたとは思えないし、そういうフィールドの強制が実際に可能だったかどうかは分からない。ローミング交換だけでなく、全てのネットワークがそれを強制できなかったことも忘れないで。今、敵がこのレポートを見てバグを修正するかもしれないから、その強制が状況を完全に変えたとは言えない。でも、強制されていれば、悪意のある行為者がいることが早く検出できたかもしれないという点はあるね。他の主張についても、019Mobileが実際にメッセージを中継していたのか、二次ホップがメッセージを受け入れるように騙されていたのか、敵が019Mobileを装っていたのか、という合理的な説明もある。これが少し状況を変えるね。彼らは019Mobileがこれらのメッセージのソースだと長々と話しているけど、可能性は高いものの、他にもメッセージの起源に関する信頼できる説明がある。技術的な詳細についても間違っている部分があるけど、重要な点ではないと思う。面白いレポートだし、実際に何かが起こっているようだけど、引用されている証拠の多くには問題があると思うし、多くの読者が強い結論を引き出すかもしれないけど、それは避けた方がいいと思う。
それが短いバージョンなら、ブログ記事を書いた方がいいよ。
GSMセルIDよりも正確な方法があるよ。「マルチラテレーション:より高度なシステムは、複数の隣接する基地局からの信号強度やタイミングを使って、電話の位置を三角測量する。これは、基地局の密度が高い都市部ではより正確。」多くの場合、200メートル以内の精度が達成できるんだ。「GSM位置情報のデータベース相関法」。IEEE VTS第53回車両技術会議、2001年春。
> 最初のものは、セルラーネットワークがユーザーを追跡するために行うことだ。GPS座標のセットを返しているわけではない。セルラーネットワークのRF側で働いている人から見ると、君は絶対に正しい。だけど、現代の携帯電話のベースバンドチップはMT-LRを実装することが求められていて、これによりネットワークはデバイスに緯度と経度を返すように要求できる。アメリカでは、これが300メートル以内の精度であることが法律で求められているから、GPSまたはAGPSからの情報になる。リクエストでクライアントタイプとしてLAWFUL_INTERCEPT_SERVICESを送信すると、電話はユーザーに通知したりリクエストをログに残したりしてはいけない。中国がアメリカの「合法的傍受」のクッキージャーに手を突っ込んでいるのが少なくとも3回見つかった理由があるんだ。
> 019Mobileは、イスラエルに拠点を置く民間の携帯電話事業者で、「Telzar 019」というブランド名で運営されている。GSMAのウェブサイトによると、彼らは2013年にモバイルサービスを提供し始め、イスラエルの国際空港での出入国ローミングサービスの「唯一の供給者」となっている。つまり、イスラエルに出入りするほぼ全ての人(他に国境を越えるのはヨルダンとエジプトだけ)は、1つの電話ネットワークオペレーターしか利用できないエリアを通過することを強いられる。仮にこのプロバイダーが怪しいモサドのフロントでないとしても、その存在だけで監視装置のターゲットとしては最高のものになってしまう。
いや、グーグル検索すれば、空港の到着・出発時にSIMカードブースを設置する契約に過ぎないってわかるよ。
つまり、バイナリSMSを電話に送信して、それがSIMに渡され、SIMがバイトコードを通じて解釈して、何でも実行できるってことだよね。例えば、リクエストされたデータを含むSMSを静かに送信させるとか、マジで? :D これが普通の文書化されたことなんだ。設計された当時は、パラノイアな人たちが存在しなかったか、権力を持っていなかったんだろうね。
残念ながら、フィールド外のほとんどの人は、電話やSIMの内部についてあまり知らないんだよね… 自律的にSMSを送信するSIMカードに関する2つの記事を思い出すな(おそらく昔HNで見つけたやつ)
SIMカードはOracle Java Cardだよ。カード管理や他の機能のためにサービスやSIM(Java Card)アプレットを提供している会社もあるし、オープンソースのアプレットもあるよ。
ネットワークがこれをできるようにしたい理由はわかるよ。だから、これが標準に書き込まれたんだろうし、マイナーな機能だから、ネットワークは他のネットワークからのメッセージをブロックするファイアウォールを実装しなかったんだと思う。