もはや旧聞に属する話だが、これは記録に留めておく必要があるだろう。米国と英国の諜報機関が携帯電話用SIMカード大手の蘭Gemalto(ジェムアルト)をハックした事件のことだ。エドワード・スノーデン氏の告発を受けて、2015年2月19日に情報サイトThe Interceptが報じた。この事件を「よく知っている」という読者はともかく、そうでなければ要注意である。
Gemaltoは 世界46カ国に拠点を持つ、携帯電話向けSIMカードを含むICカードの大手企業である。年間20億枚以上のSIMカードを製造し、AT&Tとベライゾン、スプリント、Tモバイルの米国4社を含む世界450社のモバイル事業者に、同社のプラットフォームとソリューションを提供している。日本の携帯事業者3社も同社製品を使っている。SIMカードでは30%のシェアを持つとされる。
そこに目をつけたのが米国家安全保障局(NSA)と英政府通信本部(GCHQ:Government Communications Headquarters)だ。2010年4月に「モバイルハンドセット搾取チーム(MHET:Mobile Handset Exploitation Team)を共同で設置。Gemaltoの社内システムに侵入し、社員の電子メールアドレスなどを手に入れたうえで毎年、約20億件のSIM暗号鍵を盗んだという。
SIM暗号鍵は、携帯電話(スマートフォン)と基地局の通信に使われ、通話やテキストメッセージのやり取りをセキュアにする。スマートフォンからのWebアクセスなどは別の手段が使われている。
Gemaltoは「盗まれなかった」と主張
The Interceptによれば、MHETはGemaltoの販売スタッフのマシンから顧客情報ネットワークの、ネットワーク技術者のマシンから同社ネットワークのマップ情報をそれぞれ入手している(当該記事)。
最初の報道があってから、ほぼ1週間後の2月25日、GemaltoはNSAとGCHQによる攻撃があったのはほぼ間違いないとしたうえで、大量のSIM暗号鍵が盗まれたことを否定するコメントを出した。
「我々の調査では、侵入はオフィスネットワークに留まっていた。暗号鍵や顧客データは、このネットワーク上にはない。ネットワークアーキテクチャーは多層構造であり、データを隔離していることを理解してほしい」とする。
図1:英GCHQが作成したプレゼンテーション拡大画像表示
しかし、スノーデン氏が提供したと見られるGCHQ作成のスライドには、「Gemaltoのマシンにインプラントすることに成功し、ネットワーク全体にアクセスできる」という趣旨の記述がある(図1)。
単純に「盗まれなかった」というGemaltoの主張を受け入れることは難しい。暗号鍵はSIMカードに書き込まれると同時に携帯電話会社にも送られる。でなければ認証できないためだが、Gemaltoは大量の暗号鍵を電子メールなどで送信していた。
つまりネットワークの深いレイヤーにある暗号鍵データにアクセスしなくても、犯人が送信担当者を突き止めて通信を傍受すれば、暗号鍵を入手できてしまう。こちらが事実と見られているのだ。
SIMカードの製造業界は、Gemaltoのほか、仏Oberthur Technologies(株式未公開)や独Giesecke & Devrientなど、少数の欧州企業が支配している。
Gemaltoの事件後、Giesecke & Devrientは「Gemaltoで起きたようなセキュリティ侵害を受けた形跡はない」と述べた。Oberthur Technologiesはコメントを差し控えている。
