分析情報セキュリティ研究者グループが、4Gまたは5G経由で携帯電話の位置を追跡する巧妙な方法を発見しました。しかし、この監視の仕組みは興味深いものの、よほどの強敵でない限り、実行するのは困難です。
いわゆるトルペド攻撃は、4Gおよび5Gの携帯電話通信仕様のサイドチャネル機能を利用して、悪意のある者が個人の居場所を追跡することを可能にすると言われています。トルペド攻撃の基本原理を利用して、デバイスの暗号化されたIMSIを総当たり攻撃で解読するIMSIクラッキング攻撃や、電話番号とIMSIを関連付けるピアサー攻撃を実行することが可能です。
本日、米国のNDSS(ネットワークおよび分散システムセキュリティシンポジウム)でSyed Rafiul Hussain氏、Purdue大学のNinghui Li氏、Elisa Bertino氏、およびアイオワ大学のMitziu Echeverria氏とOmar Chowdhury氏によって発表される予定の論文[PDF、985kB]によると、スヌーピングは、ターゲットに関する事前の知識と、LTEページングチャネルメッセージを傍受して読み取る方法を知っていることに依存しています。
重要なのは、チームが論文で述べているように、監視の性質は、今月のパスワードマネージャーをめぐる小さな論争と同様に、現実的に多くの人が恐れるべき攻撃ベクトルではないということだ。
この論文は12月にオンラインで公開され、その調査結果は世界のモバイルネットワーク業界団体GSMAによって認められ、問題の解決に取り組んでいます。脆弱性は依然として存在するため、概念実証用のエクスプロイトコードや詳細な手順は公開されていません。
彼らはどうやってこれを理解したのでしょうか?
Torpedo ファミリーの攻撃を理解するには、LTE モバイルネットワークの仕組みに関する基本的な知識が必要です。以下は少し簡略化して説明しています。
携帯電話のおおよその位置は、携帯電話会社が運営する近くの基地局と通信する必要があるため、ネットワークに常に通知されます。誰かがあなたに電話をかけようとすると、モバイルネットワークは、あなたの携帯電話と最後に通信していた基地局に、その携帯電話宛ての呼び出しメッセージをブロードキャストするよう指示します。携帯電話がその呼び出しメッセージを受信すると、「ここにいます!」と応答し、通話が接続されます。
セキュリティの観点から見ると、携帯電話のネットワークにおけるIDは、国際移動体加入者識別番号(IMSI)と一時移動体加入者識別番号(TMSI)の2つに分けられます。IMSIはSIMカードに保存され、変更されることはありません。TMSIは近くの基地局によって携帯電話に割り当てられます。ある基地局の電波が届かない場所に行くたびに、次の基地局が新しい固有のTMSIを割り当てます。
4Gおよび5G LTEの仕様には、携帯電話が無線チャネルを時分割したり、新しいページングメッセージを確認するために特定の時間にのみ基地局と同期したりするなど、多くの計算処理が含まれています。その計算処理の重要な部分の一つがページングフレームインデックス(PFI)と呼ばれ、ページングメッセージの一部としてブロードキャストされます。PFIはセルエリア内の各デバイスに固有のもので、IMSIから一部派生されます。
目標は、IMSI を発見して、携帯電話が基地局のセルから基地局のセルへ移動する際に、携帯電話の移動や存在を追跡できるようにすることです。
魚雷攻撃
まず第一に、盗聴者は既にあなたの電話番号を所持しており、特定の時間にあなたとあなたの携帯電話が物理的にどこにいるか、大まかに把握している必要があります。これら2つの情報を入手することは決して不可能ではありませんが、盗聴者があなたとあなたの旅行習慣についてある程度の知識を持っていることが前提となります。
攻撃者は、無線電波を介して特定のページングメッセージを読み取ることができる1つ以上のRFスニファーを設置する必要があります。これも不可能ではありませんが、綿密な計画とリソースが必要です。
攻撃を実行するために、スパイは標的が無線スニファーハードウェアの検知範囲内にいることを確認するまで待機し、標的の携帯電話に電話をかけます(またはテキストメッセージ、WhatsAppなど、何らかのプッシュサービスを起動できる任意の方法で)。これにより、ページングメッセージがブロードキャストされます。研究者たちは、ある攻撃手法を次のように要約しています。
- 電話をかけます。
- 配信ウィンドウ中に無線でページング メッセージを聞きます。
- ウィンドウ内にページング メッセージがないすべての PFI 値をセットから削除します。
- セット内にPFI値が1つだけ残っている場合、それが[ターゲットの] PFIであると結論づけられる。
そこから、チームが開発したPiercer攻撃を用いて、携帯電話ネットワークから標的のIMSI(通常は無線で暗号化されている)を取得し、それを電話番号に紐付けることができます。簡単に言うと、スヌープがページングチャネルを乗っ取り、最終的にネットワークに、導出されたTMSIではなく、標的のIMSI自体のページングメッセージをブロードキャストさせるのです。
この動作は、一部の通信事業者のLTEネットワークが、不在になったユーザーデバイスの位置を特定するために設計されている通常の動作であり、攻撃者が事前にページングチャネルを乗っ取っている限り、たった1回の通話で起動できます。ただし、ネットワークがIMSIページングメッセージを平文でブロードキャストするように設定されているかどうかによって異なります。この手法が確実に機能するとは限りません。
レギュラーコメント: 思ったほど深刻ではない
ロンドンのような場所を考えてみましょう。そこには基地局や電波の届かない場所があふれており、ロンドン地下鉄に乗ったときのように、携帯電話が突然圏外になってまったく別の場所に移動させられる可能性が大いにあります。
論文で説明されている監視機能は、携帯電話ネットワーク基地局の通信圏内でユーザーの位置を特定できます。単一の基地局に対してTorpedoを実行しても、攻撃者はユーザーが特定の通りにいるのか、特定の店の外にいるのか、特定のオフィスビルの特定の窓から外を眺めているのかを特定できません。携帯電話に固有のIMSIが紐付けられているため、そのエリア内にいるという情報しか得られません。
今ならあなたも、ラズベリーパイと1,100ユーロ相当の機器で3Gから5Gまでのモバイルユーザーを盗聴できる
続きを読む
とはいえ、あなたの居場所を熟知し、複数のスニファーを装備した、執念深い攻撃者であれば、警察がギャング構成員の容疑者を見つけるために用いる三角測量技術を使って、より正確にあなたの居場所を特定できる可能性があります。また、携帯電話を移動させる際にも追跡される可能性があります。
この方法は非常に有効であるため、英国の検察官は定期的に裁判所を説得して、麻薬やギャングの有罪判決を受けた犯罪者に対し、新しい携帯電話番号を警察に通報しない限り、指定された携帯電話番号のみを使用するよう強制する条件を課している。
最後に、短時間に何度も電話をかけ、応答がないまま電話を切ると、標的のデバイスに着信を知らせることなくページングメッセージが送信される可能性があり、攻撃者はこれを利用して被害者の位置を追跡できます。また、被害者のページングタイミングが分かれば、攻撃者はページングチャネルを乗っ取り、アンバーアラートのようなメッセージを偽装したり、メッセージ自体をブロックしたりすることで、ページングメッセージを挿入または拒否することも可能になると研究者らは述べています。
情報セキュリティ用語で言うと、これはあなたの脅威モデルに含まれていますか?もしそうなら、相当な資金力のある人々を困らせることに成功しない限り、通りすがりのサイバー犯罪者や中程度に組織化された犯罪集団よりも、国家レベルの強固な敵対勢力の標的になる可能性の方が高いでしょう。
もちろん、警察や諜報員は令状やその他の適切な権限を使って、携帯電話会社にあなたの携帯電話の位置情報を引き渡すように求めることもできます。そして、電話会社の関与なしに、適切な道具を持っていて、上記の手法に頼る可能性もあります。
タイミングの問題もあります。研究者たちは論文の中で、「次の試行を行う前に、デバイスがアイドルモードに移行するまで(約30~35秒)待つ必要があります。したがって、ToRPEDOが成功するには、30~35秒間隔で連続して電話をかけた場合、平均2.4~4.3分かかります」と述べています。
自宅や職場など、じっとしている場所であれば、簡単に実行できます。ただし、ターゲットが、通話やメッセージが途切れて30秒ごとに鳴る電話を不思議に思って電源を切るといった、妨害行為をしない限りの話です。屋外で基地局エリア間を移動している場合は、敵対的な人物やグループの技術的な判断力というよりも、運に左右される可能性が高くなります。
Piercer が機能しない場合に ID を取得する代替手段である IMSI クラッキング攻撃に関しては、1 週間かかる可能性があります。チームは、1 人の加入者の ID を総当たり攻撃で特定するのに、7 日間にわたって約 74 時間を費やしました。®
