精巧な2つの通信監視キャンペーンの調査で実態が判明

 (techcrunch.com)
1 ポイント 投稿者 GN⁺ 6 일 전 | 1件のコメント | WhatsAppで共有
  • グローバル電話網のよく知られた脆弱性を悪用し、携帯電話の位置データを追跡した、異なる2つの監視キャンペーンが確認された
  • 監視ベンダーは、正規の移動体通信事業者を装うペーパーカンパニーの形でネットワークへのアクセス権を確保し、SS7とDiameterを使って標的を追跡した
  • 2つのキャンペーンは共通して、019MobileTango Networks U.K.、Airtel Jersey関連のアクセス権を中継地点として利用し、通信事業者のインフラの背後に隠れて活動した
  • 1つ目のキャンペーンはSS7攻撃が失敗するとDiameterに切り替え、2つ目のキャンペーンは痕跡を残さない特殊なSMSでSIMカードと直接通信し、携帯電話を位置追跡装置のように動作させた
  • 数年にわたり数千件の攻撃が観測されており、今回の調査で明らかになったのは世界中の数百万件の攻撃のうち一部にすぎず、通信インフラ悪用の規模は依然として大きい

調査概要

  • Citizen Labの報告書は、グローバル通信インフラのよく知られた脆弱性を悪用して人々の携帯電話の位置を追跡した異なる2つの監視キャンペーンを追跡した
  • 監視ベンダーは、正規の移動体通信事業者を装うペーパーカンパニーの形で運営され、確保したネットワークアクセス権を用いて標的の位置データを照会した
  • 今回の発見は、グローバル電話網を支える技術全体で基盤的な脆弱性の悪用が今なお続いていることを示している
  • 調査範囲は2件に集中していたが、研究者らはこれを、監視ベンダーがグローバル電話網へのアクセスを狙って行う広範な悪用の一断面だとみている

SS7とDiameterの悪用

  • SS7は2Gおよび3Gネットワーク向けのプロトコル群で、長年にわたり世界中のセルラーネットワークを接続し、加入者の通話やSMSをルーティングする基盤の役割を果たしてきた
    • 過去の報道でも、政府や監視技術企業がSS7の脆弱性を利用して個人の携帯電話の地理的位置を把握できるとの警告が続いてきた
    • SS7では認証や暗号化が必須ではないため、不正な事業者がこれを悪用する余地が残っている
  • Diameterは4Gおよび5G通信向けに設計され、SS7になかったセキュリティ機能を含む後継プロトコルである
    • Citizen Labは、通信事業者が新たな保護機構を常に実装しているわけではないため、Diameterも悪用されうると指摘している
    • 一部のケースでは、攻撃者が再び旧式のSS7プロトコルの悪用へ戻ることもある

共通の侵入口として使われた通信事業者

  • 2つの監視キャンペーンはいずれも、3社の特定通信事業者のアクセス権を悪用しており、これらの事業者は通信エコシステムの中で繰り返し監視の侵入口および中継地点として機能していた
  • このアクセス権によって、監視ベンダーとその背後にいる政府顧客は、当該事業者インフラの背後に隠れて活動できた
  • 報告書によると、1社目はIsraeli operator 019Mobileで、複数の監視の試みに使われていたことが確認された
  • **Tango Networks U.K.**も複数年にわたる監視活動に利用された
  • 3社目はチャネル諸島ジャージー島のAirtel Jerseyで、現在はSureが所有している

事業者側の回答

  • Sureは、個人の位置追跡や通信内容の傍受を目的とする組織に対し、シグナリング網へのアクセスを直接的にも、認識した上でも貸与していないと述べた
  • Sureは、デジタルサービスが悪用されうることを認めつつ、不適切なシグナリングトラフィックの監視と遮断を含む複数の保護措置を実施していると述べた
  • Sureは、ネットワーク悪用に関する証拠や有効な通報を受け取った場合はサービスを直ちに停止し、調査後に悪意ある、または不適切な活動が確認されれば恒久的に終了すると述べた
  • Tango Networks019MobileはTechCrunchのコメント要請に応じなかった
  • 019MobileのITおよびセキュリティ責任者Gil Nagarは、Citizen Labに送った書簡の中で、Citizen Labが監視ベンダーに使われたと指摘したインフラが自社所有かどうかは確認できないと述べた

1つ目の監視キャンペーン

  • 1つ目の監視ベンダーは、複数年にわたって世界各地の異なる標的に対する監視キャンペーンを可能にしており、複数の移動体通信事業者のインフラを併用していた
  • 研究者らは、このパターンを根拠に、異なるキャンペーンの背後には異なる政府顧客がいたとみている
  • 調査では、モバイルシグナリングのエコシステムに深く統合された、意図的かつ十分な資金を持つ作戦の兆候が捉えられた
  • 調査に参加した研究者は、いくつかの手掛かりが専門的な通信能力を持つイスラエル拠点の商用geo-intelligence企業を示していると述べたが、企業名は公表されなかった
    • 類似のサービスを提供するイスラエル企業としては、Circles、Cognyte、Rayzoneが挙げられている
  • このキャンペーンは、まずSS7の脆弱性悪用を試み、失敗した場合はDiameterの悪用へ切り替える方式に依存していた

2つ目の監視キャンペーン

  • 2つ目の監視キャンペーンは1つ目とは異なる手法を使っており、Citizen Labが名称を明かしていない別の監視ベンダーが背後にいる
  • このベンダーは、特定の高位の標的1人を狙って特別な形式のSMSメッセージを送信した
  • このメッセージは、ユーザーに痕跡を残さず標的のSIMカードと直接通信するよう設計されていた
    • 通常の環境では、通信事業者が加入者のSIMカードに無害な命令を送り、端末がネットワークに継続接続されるよう維持するために使われる
    • 今回のケースでは、監視ベンダーが標的の携帯電話を事実上位置追跡装置へ変える命令を送っていた
  • この種の攻撃は、モバイルセキュリティ企業Eneaが2019年に**SIMjacker** と名付けた

攻撃規模と検知の難しさ

  • 調査に参加した研究者は、このような攻撃を数年にわたり数千件観測したと述べ、かなり一般的でありながら検知が難しい悪用だとみている
  • ただし今回のSIMjacker系の攻撃は地理的に標的を絞る傾向を示しており、これを使う主体はどの国やネットワークがより脆弱かを把握している可能性が高い
  • 研究者らは、今回の2つのキャンペーンは全体のごく一部にすぎないとみている
    • 世界中に存在する数百万件の攻撃のうち、2つの監視キャンペーンだけを集中的に調査した結果である

関連記事

1件のコメント

 
GN⁺ 6 일 전
Hacker Newsのコメント

  • 以前、911ディスパッチャーの訓練を受けていたとき、e911の自動情報で位置照会ができない場合は、通信事業者に緊急事態の供述書を書いてFAXで送り、法務レビューが終わるまで何時間も待たなければならなかった。
    判断を誤れば法廷に引っ張られる可能性もあったので、手続きは非常に厳格だったが、それがプライバシーの代償だと考えれば納得はできる。
    それなのに、こうした業者がSS7のような穴を使って利益のために好き勝手に位置情報を抜き取っているというのは、本当に狂っているように見える。

    • あなたが言う供述書 + FAX + 法務承認の手続きのほうが、むしろ正しい構造だと思う。
      こうした摩擦はバグではなく機能であるべきだ。
      問題は、こうした業者がSS7ゴースト事業者のようなやり方でその手続きを丸ごと回避していた点にあり、これは政策の失敗を超えてアーキテクチャの失敗でもある。
      通信エコシステムは、もともと「正当な」ネットワーク参加者が敵対的であり得ることを前提に設計されていなかった。
    • 何時間も待っていたら、その時点でもう死んでしまっているかもしれないので、そういう手続きはあまりに無意味にも聞こえる。
    • この流れで強欲批判を持ち出したら、ここでどういう反応になるかは目に見えている。
    • これが必ずしも利潤動機だけによるものとは限らず、記事を見る限りでは、脆弱なプロトコルを悪用する怪しい業者がいるという話により近く見える。
      スパマー向けのBulletproof hosting業者が存在するからといって、それをすべて「正当化された強欲」のせいにするのが難しいのと似ている。

  • 監視国家についての最大の嘘の一つは、それが専門的に運用されるという思い込みだ。
    NSA職員でさえ、何十億ドルもの監視資産を使って好みの女性を覗き見しており、それをLOVEINTと呼んでいたほどだった。
    https://www.nbcnews.com/news/world/loveint-nsa-letter-discloses-employee-eavesdropping-girlfriends-spouses-flna8C11271620
    https://www.yahoo.com/news/nsa-staff-used-spy-tools-spouses-ex-lovers-193227203.html
    1998年から2003年にかけて、外国人女性9人の電話番号と米国人1人の通信まで調べた事例もあった。
    人類は歴史上、このような全面的監視を経験したことがないので、その波及効果を十分に想像することすらできておらず、ここにLLMまで乗ればさらに深刻になる。
    プライバシーについて非常に厳格な一線を維持できなければ、国家と企業の監視インフラの上に個人向けに最適化された地獄が無数に育つ世界が来るように思える。

    • 政府内部に通報できる相手すらいないなら、いったいどうしろというのか分からない。
      そうした通報は簡単に握りつぶされかねない。
    • これからの闇市場は、プライバシーを取り戻すための違法な個人通信機器であふれることになりそうだ。
      こういう設定のSFもすでにどこかにありそうだ。
    • こうした技術監視は、単純に法律で禁止すべきだ。
      わずかな追加の安全保障上の利益があるとしても、プライバシー侵害や予測不能な副作用のコストのほうがはるかに大きい。
    • 私たちはすでにそういう世界に生きていると思う。
      ここでの議論は米国中心に流れているが、世界の大半の人々はもっと過酷な現実を経験している。
      助けを求める声はしばしばWhatsAppで必死に拡散され、そのプラットフォーム内に知り合いがいることを願うような形になる。
      同意のない親密画像の拡散の被害を受ければ、とりわけより保守的な社会では事実上人生が終わることさえある。
      Pig butcheringのような詐欺は露骨な犯罪であり、アカウント復旧や人間の相談員につなぐことすら難しい現状を見ると、techプラットフォームの価値は結局、自ら招いたサポートコストをきちんと負担していないからこそ成り立っているのではないかと思う。

  • 知人が通信事業者の従業員であるストーカーの元彼に追跡されたことがあった。
    名前でSIMを照会して位置を継続的に把握できるようで、新しいSIMに替えて新しい端末を使っても逃れるのは非常に難しかった。
    こういうことを警察に届けても、かえって非合理的な話として扱われて無視されがちだ。

    • 通信事業者では、従業員が人の情報をこっそり照会することはかなり知られた話だ。
      誰が自分のデータを見たのかと苦情を入れて初めて調べて対処する、という運用だと聞いた。
      昔、セキュリティ/調査関係の人に、ログが全部残るなら業務外の照会は簡単に見つけられるのではないかと尋ねたところ、そうすると従業員の半分以上を解雇しなければならないと言われた。
      有名人でも、友人でも、敵でも、誰のPIIでも覗き見していて、ほとんど非公式な福利厚生のように見なされていたそうだが、これは2010年ごろの米国大手通信事業者の話だった。
    • 少なくともオーストラリアでは、そうした行為は犯罪なので通報する価値がある。
      証拠が十分なら、警察が捜査し起訴も可能なはずだ。
    • 貧しい国の怪しい通信事業者は、少額でSS7データを売ることもあり、それで必要な位置情報はすべて得られる。
    • もしその人物が緯度・経度とSIMの対応DBにアクセスできたなら、新しい端末を使っても、以前のSIMの位置パターンと重なる地点から新しいSIMを再特定できる可能性がある。
      新しい端末に替えると同時に引っ越しまでして、以前の端末を持って行っていた人通りの少ない場所に新しい端末を絶対に持って行かない、というレベルでなければ、逃れるのはほぼ不可能だ。
    • だから私はSIMなしで端末を持ち歩き、常に機内モードにしている。
      SIMは家のフィーチャーフォンに入れておいて、必要なときだけ電源を入れる。完璧ではないが、通信網による追跡よりははるかにましだ。

  • ロシアでは、こういうことはほぼ日常的だ。
    政府が通信事業者を通じて人々を追跡し、そのデータは適当な金を払えば闇市場で買える形で流出することもある。
    政府も最近はその流出を止めようとしているが、どれだけ成功しているかは不明で、野党記者や調査者が政権の怪しい動きを掘るのにそのデータがよく使われてきたからでもある。
    この情報は、他の通信事業者、他のSIM、Wi‑Fiホットスポット、街頭カメラなどの複数のDBと突き合わせられ、事実上追跡を避けるのは不可能だ。
    結局、世界標準のように広がっていく可能性も高そうだ。

    • 政府が通信事業者で人を追跡しているのは事実だが、闇市場DBはたいてい偽物である可能性が高い。
    • こうしたことはロシアだけでなく、英国、イスラエル、オーストラリアでも同様に起きている。
    • もう端末は家に置いて出歩くしかないのでは、という気がしてくる。
    • ロシアの話に持っていくのは少し論点ずらしに見える。
      記事の主題は英国であり、そこにイスラエルの移動通信・監視企業も重要な存在として見えるからだ。

  • 調査で出てきた手がかりを見るだけでも、背後にいるのがイスラエル系の商用geo-intelligence企業である可能性はかなり高そうだ。
    Circles、Cognyte、Rayzoneのような企業がすぐに思い浮かぶ。

  • なぜこうした国々はセキュリティ、ハッキング、監視、0-dayにあれほど強いのだろうか。

    • 他国を密かに揺さぶり、統制するのが目的なら、そうした技術は非常に有用だ。
    • 周囲に自国を敵視する国が多いので、情報機関スパイ産業が強く発達したのはある意味自然だ。
      ただ、今起きている虐殺を見ると、その産業をまったく別の目で見るようになる。
    • 国家支援と米国との情報共有体制が結びついた結果だと思う。
      より大きな軸には、グローバルな通信事業者課金システムを回しているAMDOCSもあり、そうなると事実上あらゆる課金活動にアクセスできることになる。
      EUはこうした構造を整理すべきだと思う。
    • 大規模な監視体制を運用しているからこそ、最終的には爆発するポケベルのような形で個人単位の標的化まで可能になるのだと思う。
      イランとイスラエル、そしてHezbollahをめぐる長年の戦争の一断面のように見える。

  • 私の住む国では、95%くらいの人がWhatsApp経由でMetaに位置を追跡されても大して気にしていない雰囲気で、人々の関心はもうずっと前に失われたように見える。
    私は例外でプライバシーを重視しており、2010年ごろにFacebookとWhatsAppを試したあと、すぐ削除した。
    広告主向けの    デジタルプロファイル    が自分を基準に積み上がっていくのは望まないし、Googleにも個人情報を渡したくない。
    監視業者にとっては、ISPごとに分断されたデータよりも、MetaやGoogleから位置データを買うほうがずっと簡単かもしれず、その点がより心配だ。

    • 本当に**95%**が気にしていないという根拠があるのか気になる。
      AndroidとiOSは位置情報の権限を個別に管理し、利用履歴も残るので、同意のない追跡が発覚すれば大きな広報災害になる可能性が高い。
    • 技術に詳しくない友人や家族に聞かれたとき、私がまず勧めることの一つは、すべてのアプリのバックグラウンド位置情報アクセスを切ることだ。
      だが、技術に詳しい人の中にさえ、それを気にしない人は多い。

  • 端末を5G専用にしても、位置は依然として漏れ得る。
    移動体通信網全体が2G/3GのSS7ベースの互換性を維持しているため、誰かが旧世代ネットワーク側からあなたへ接続しようとしたとき、その経路が残っているからだ。
    そのため、プロトコルダウングレード攻撃も可能になる。
    モバイル網を使い続けながら自分を隔離したいなら、データ専用SIMを使い、通話とメッセージはエンドツーエンドで安全なインターネットアプリだけで処理し、電話番号は事実上捨てるしかない。
    移動体通信は信頼された囲いの中の庭園と下位互換性を軸に進化し、インターネットは非信頼環境とエンドツーエンドセキュリティを軸に進化してきた、という対比が鮮明だ。

    • とても興味深い。さらに読める資料があれば知りたい。

  • SS7は本当に典型的な知られているのに直されない問題に見える。
    通信業界は何十年も前から壊れていると分かっていたのに、直すインセンティブが事実上なかった。
    悪用されても通信事業者は責任を負わず、攻撃はエンドユーザーの目にはほとんど見えず、SS7から完全に抜け出すには何百もの事業者間でグローバルな調整が必要になるので、結局何も起こらない。
    これは技術的失敗というより、強制力のない調整の失敗に近い。
    Diameterが解決策であるはずだったが、通信事業者がそのセキュリティ機能すらまともに実装していないのを見ると、核心はより良いプロトコルの不在ではなく、誰も気にする必要がないという構造にあったのだろう。

  • Citizen Labのレポートを開くと404になる。
    https://citizenlab.ca/research/uncovering-global-telecom-exploitation-by-covert-surveillance-actors/