O2 VoLTE:通話1回で全顧客の位置追跡が可能

 (mastdatabase.co.uk)
2 ポイント 投稿者 GN⁺ 2025-05-18 | 1件のコメント | WhatsAppで共有
  • O2 UK のVoLTE(4G Calling)サービスで、通話相手の位置情報 と端末識別子が送信される現象が発見された
  • IMSシグナリングメッセージに IMSI、IMEI、Cell IDなどの機微情報 が含まれており、外部から容易に受信できる
  • 公開クラウドソーシングデータ(cellmapper.net など)を通じて、これらの情報から 正確な位置特定 が可能
  • この脆弱性は すべてのO2顧客に適用 され、誰もが攻撃対象として露出している
  • ユーザーや一般顧客は別の方法で この情報漏えいを防ぐことができない

紹介

  • Voice over LTE(VoLTE) は、モバイルネットワークでインターネットベースのプロトコルを使って音声通話を可能にする技術
  • VoLTEで使われる IP Multimedia Subsystem(IMS) は、複雑さや機器間相互作用の問題により、セキュリティリスクが発生する可能性がある
  • 各通信事業者はIMSサーバー構成やサービス実装方式を独自に選択できるため、設定ミス時にデータ漏えいのリスク がある
  • 本文書では、O2 UKがこのようなセキュリティ上の懸念を実際に引き起こした事例を分析する

O2 UKのIMS/VoLTEサービスの現状

  • 2017年3月27日、O2 UKは 4G Calling というIMSベースの初のサービスを開始し、通話中により良い音声品質とデータ利用環境を提供した
  • 著者は通話品質を測定するため、Network Signal Guru(NSG) アプリをroot化したGoogle Pixel 8で活用した
  • アプリの限界により、直接 生のIMSシグナリングメッセージ を分析し、通話時にやり取りされる詳細情報を確認した

シグナリングメッセージの問題点

  • O2 UKのIMSシグナリング応答には、他の通信事業者と異なり 非常に詳細で長い情報 が含まれている
  • IMS/SIPサーバー情報、バージョン、エラー、デバッグログとともに、以下のような機微なヘッダーが含まれている
    • 2組の IMSI、2組の IMEI
    • Cellular-Network-Info:受信者ネットワーク、位置コード、セルIDなど
  • メッセージ内のIMSI、IMEIおよびCell IDを比較した結果、通話相手(受信者)の情報 も含まれていることが確認された

Cell IDによる位置追跡

  • Cellular-Network-Info ヘッダーを解読すると、受信者の通信事業者、位置エリアコード(LAC)、セルID が明らかになる
  • 該当するCell IDは cellmapper.net などのサービスに入力することで、基地局の位置を正確に把握できる
  • 都市などの 高密度地域 では、基地局カバレッジが100m²以内に狭まるため、比較的非常に高精度な位置確認 が可能になる
  • 実際に、O2顧客が海外ローミング中でもこの方式は機能し、都市中心部レベルまで位置確認 が行えた
  • こうした情報は 特別な機器や手順なしで、IMS通話が可能なすべてのO2端末から漏えいする

改善要求事項

  • O2は、IMS/SIPメッセージから 機微なヘッダー(位置および端末情報) を削除し、顧客の個人情報と安全を保護する必要がある
  • デバッグ用途のヘッダーも 不要な情報漏えい につながる可能性があるため、無効化が必要
  • ネットワークコア外部の端末にこのようなヘッダーが見えることは 不合理 である
  • O2の内部セキュリティ問題報告ルートの欠如は、他の通信事業者(例:EE)と比べても 深刻な問題 である

結論

  • O2顧客は 誰でも基本的なモバイルネットワークの知識さえあれば、高精度な位置情報まで追跡されるリスクがある
  • ユーザーが 4G Callingを無効にしても、機微情報の露出は防げず、自力での防止は不可能
  • 端末がネットワークに接続されていなくても、最後に接続したセルおよび接続時点の情報 が依然としてIMSメッセージに残っている
  • 2025年3月26~27日、O2関連のセキュリティ責任者とCEOにメールで当該事実と危険性を複数回知らせたが、これといった対応や改善はない

参考

修正履歴

  • 2025年5月18日23:40時点で、初回記事内のO2セキュリティ通報メールアドレスの誤記(virginmedia.co.uk→virginmediao2.co.uk)を修正反映

関連記事

1件のコメント

 
GN⁺ 2025-05-18
Hacker Newsの意見
  • 2025年3月26日と27日に、この挙動とプライバシー上のリスクをO2にメールで知らせたが、いまだに返答も対応の変化もなく、本当に残念な対応だ。Virgin Mediaのアドレスが最も近い連絡先になっている点も疑問で、https://www.o2.co.uk/.well-known/security.txt が200を返すべきなのに404になっているのも問題だ。この状況では公開に踏み切るのも理解できるが、NCSCのような機関ならこの問題をもっとうまく伝えられるのか気になる
    • 実際にはメールアドレスを誤記していた。Virgin Media O2の @virginmediao2.co.uk を使うべきところを、@virginmedia.co.uk と書いてしまった単純なタイプミスだ。この点は記事で訂正する予定
    • プライバシーポリシー(GDPRの必須事項)には複数のメールアドレスがあり、たとえば DPO@o2.com などがあるので、おそらくそちらでは誰かが確認している可能性がある。https://www.o2.co.uk/termsandconditions/privacy-policy を参照
  • 以前のO2には責任ある情報開示向けのメールアドレスがあったが、数年前になくなった。昔はセキュリティチームが本当に優秀だったのに、昨年イシューについてメールしたときにはすべて消えていた
    • O2内のそのチームは実際にはすでに通知を受けていたが、何の措置も取られなかったか、対応が不十分だった
  • 今回のバグは単なる理論上のバグではなく、実装面での怠慢によって生じた問題だ。他の英国通信事業者はすでに解決済みの問題でもある。LTE導入初期からECI漏えい問題は議論されており、Open Mast DBのおかげで自動位置マッピングも非常に容易な状況だ。関連論文(https://arxiv.org/abs/2106.05007)を参照
  • 本当に興味深いのは、多くの法的観点ではこれがハッキングに分類されないという点だ。当該データはネットワークから正常に自発的に出ていく情報であり、不正にデータを得ようとしてシステムを欺いたわけではないからだ。たとえばURLに "&reveal_privat_data=true" を追加するような行為なら明白な意図があり違法だろうが、今回はそうではない
    • ただし、これもデータ漏えいには当たる。英国のように関連規制があるなら、直ちに規制当局への報告が必要になったり、罰金につながったりする可能性がある
    • Computer Misuse Actの適用範囲が非常に広いことを考えると、思ったより単純に片づく問題ではない
  • 発信者がどうやって呼制御メッセージ(たとえばSIP)を見られたのか本当に気になる。こうしたメッセージは端末と基地局(MME)の間の暗号化されたGREトンネル内にあるものだと思っていた。もし誰かがGREトンネルの暗号を解いたのなら、とてつもないセキュリティ脆弱性だ。おそらくOPが自分のデバイス上で解析しているから可能なのだろうが、それでも暗号化前のペイロードを見られるのは驚きだ
    • 記事の編集者です。Qualcommチップ搭載のAndroid端末の多くは、USB経由でモデム診断ポートを露出できるオプションがあり、root化も不要です。NSGをroot化して使う方がノートPCを持ち歩くよりずっと楽なので、そちらを好んでいます。Scat(https://github.com/fgsect/scat)をモデム診断ポート有効化と併用すれば、すべての信号トラフィックを見られます
    • root化したAndroid端末と、Network Signal Guru(https://play.google.com/store/apps/details?id=com.qtrun.QuickTest)アプリを使っています。無料版では実際に「復号」しているわけではありませんが、root権限とモデムアクセスでこうしたログを読めます。特定バンドを無効化したり、特定基地局にだけ接続させたりできるので、データ専用で使うときに便利です
    • 多くの通信事業者はVoLTE用SIPシグナリングをP-CSCF終端のIPsec転送として設定しているが、ほとんど(あるいは全部)がIPsecを完全な暗号化ではなく完全性保証のみになるよう設定している
    • 修正: GREではなくGTP
    • GTPトンネルのことを指していたのだと思う。GTPトンネルはeNodeBとコアネットワークの間で動作し、IPSECの内側でのみ保護される
  • O2がいまだに事業を続けられているのが不思議だ。他のネットワークよりずっとひどく、バックホール問題が深刻なThreeよりも劣る。自分がO2のSIMを持っている唯一の理由は、Priorityチケットと、彼らの会場で使える電波のためだ
    • 5G Standaloneネットワークに接続できるなら、かなり改善する。ただし新しいSIMカードと対応端末が必要で、体感差はかなり大きい
  • かなり深刻な問題だと思う。端末をroot化してNSGを入れれば、こうした情報を見るのはそれほど難しくない。O2は英国最大の移動体通信事業者でもあり、政府との契約もある。返信がないのは失望ではあるが、予想通りでもある。O2は内部的に混乱した状態で、店舗で解決できないものは修正に本当に時間がかかる(たとえば番号ポーティングの問題)。システムも古く、一部の顧客はいまだにVoLTEを使えず、5G SAは音声通話をサポートせず、n28への依存が強すぎて遅いことも多い。CTOは「見栄えの指標を捨てて本質に集中しよう」という趣旨のブログを書くが、実際のデータ品質はいつも最下位だ。関連ブログ(https://news.virginmediao2.co.uk/leaving-the-vanity-metrics-behind-and-focusing-on-what-matters-customer-experience/)を参照
    • EUローミング料金を取らないのは、課金システムがないからなのではと思い始めている
  • VoLTEを無効にしてこの問題を防げるのか気になる。iPhone 11ではオフにする方法を見つけたが、iPhone 15にはそのオプションがない
    • 4G Calling(VoLTE)を無効にしても、こうしたヘッダーは露出する。しかも端末の電源が切れていても、最後に接続したセルの位置と時刻はなお露出する。したがって効果はない
    • O2 UKは従来型のプリペイド(PAYG)顧客にはVoLTEを提供しておらず、契約プラン利用者のみが対象だ。今となってはむしろ幸運だと思えてくる
  • IMSについては詳しくないが、デバッグヘッダーが送られるほどなら、ある程度長く通話を維持しないといけないのではないかという疑問がある。スパイ映画の通話追跡のように。もしそうなら、未知の番号には出ないことで回避できるのか気になる。もちろん、知っている相手がその番号で連絡してきた場合は同じように露出するだろうが
    • こうした情報は通話が接続する前からネットワーク側ですでに把握している情報だ。おそらくデバッグ用ヘッダーなので、接続できない状況でもデバッグのために必要なのだろう。理解が正しければ、端末の電源が切れていても最後に使ったセルの情報を提供する
    • IMSは単にSIPコア+複数のゲートウェイ+基本的なLTEインフラ(たとえばeNodeB、PCRFなど)で構成される仕組みだ。ここでのシグナリングメッセージは単なるSIPメッセージで、もしこうしたヘッダーがSIP 180 Ringingなどにも入っているなら、電話に出なくても情報が漏れる可能性がある。通信事業者で実際にIMSを構築していた経験に基づく説明だ
  • O2 NZにもこの問題があるのか気になる。オーストラリアで無制限ローミングとVoLTE通話のため、先週乗り換えたばかりだ
    • おそらくこの問題はO2 UK固有である可能性が高い