音声の脅威:VoLTE、モバイルネットワークへの新たな攻撃手段

2015年11月20日

通信技術プロバイダーが5Gネットワークの将来像について合意を探る一方で、通信事業者は一刻も早く、現行の4Gネットワークで使用できる新しいテクノロジーを展開しようとしています。Voice over LTE、略してVoLTE(ボルテ)はこのようなテクノロジーの1つで、データ層を通じた音声通話を可能にします。

volte-insecurity-featured

つまり、どういうことか?まず、いくつか技術的な説明から始めましょう。現在のセルラーネットワークは、データ、音声、コントロールの3つの「プレーン」を使用しています。通常、データプレーンはモバイルインターネットに、音声プレーンは音声通話に使われます。3つ目のコントロールプレーンは、簡単に言うと、他の2つのプレーンで行われる処理をすべて制御する役割があります。

従来のセルラーネットワークは、専用回線を使って音声通話を処理しています。これに対し、4Gテクノロジーでは優先順位が考慮され、音声通話パケットをデータプレーン経由で優先的に送信できます。これがVoLTEの基本的な特徴です。最も高い優先順位はコントロールプレーンのパケットに設定されています。要するに、VoLTEは、セルラーネットワークでの使用に適したIPテレフォニー(VoIP)の1種なのです。

VoLTEには、いくつか利点があります。1つ目は、音声通話を処理するための特別なインフラが要らないため、VoLTEが普及すれば既存の2G/3Gインフラは実用性がなくなり、サポート不要になります。2つ目は、VoLTEの帯域幅は3Gと比べて高く、音声品質が大幅にアップします。

3つ目として、テレビ会議に使用できる点が挙げられます。そして最後ですが、モバイル通信事業者によると、「VoLTEは通話のプライバシー保護に優れ、接続が速い」ということです(英語記事)。ざっと見たところ、VoLTEにあるのは大きなメリットばかりで、これといった欠点はないようです。少なくとも、第一印象は。

よくある話ですが、どんなに画期的なテクノロジーでも、成長期にはそれなりの苦しみを伴います。カリフォルニア大学の研究者は、上海交通大学とオハイオ州立大学の研究者と連携し、米国のTier-1通信事業者の2つのネットワークでVoLTEに対する現実的な攻撃を実演してみせました(英語資料)。

研究者グループは、標的の通話をすべて切断する方法、標的の携帯電話の請求額を上乗せする方法、その反対に無料でモバイルデータにアクセスする方法を実演しました。興味深いことに、犯罪者は目的達成のためにネットワークをハッキングする必要もなければ、高価な機器を使って攻撃する必要もありません。必要なものはルート化されていない、またはルート化されたスマートフォンだけです。

一番の研究成果は、VoLTEを欺き、普通のデータパケットを「優先順位の高い」シグナルパケットまたは音声パケットと見せかけて送信できることを発見した点です。

つまり、攻撃しようと思えば、好きなだけ攻撃できるのです。シグナルパケットには料金がかかりません。したがって、普通のデータパケットをシグナルパケットや音声パケットに見せかけてしまえば、課金されずに済みます。研究者グループは概念実証としてSkypeで10分間通話してみましたが、使用したデータトラフィックは一切記録されませんでした。

シグナル(コントロール)プレーンの優先順位が常に1番であることは、犯罪者にとって大きなチャンスです。シグナルパケットを装ったデータパケットでこのレイヤーを埋め尽くせば、シグナルパケット用の帯域幅が足りなくなります。この手法を使って、他の誰かのネットワークアクセスを切断することもできますし、偽のシグナルパケットでネットワークを混乱させることで標的のネットワークをダウンさせることもできるでしょう。

また、攻撃者は同じ手法を使って、標的をデータパケット攻めにすることも可能です。標的となる人が契約しているデータプランがパケット無制限のプランでなかった場合、通信事業者に対する追加料金支払いが相当な額に及ぶかもしれません。さらに、ファイアウォールはこのような攻撃を検知できません。ファイアウォールは悪意あるトラフィックを遮断するために存在しますが、この攻撃では正規のモバイルトラフィックが使用されているため、攻撃に気付かないのです。

ここまでは、シグナル(コントロール)プレーンを経由してデータパケットを転送できるという話でしたが、音声プレーンでも同じ手法を使えます。たとえば、この研究者グループはVoLTE上の音声通話の制圧にも成功しました。攻撃の標的となった人は、電話に出ても音声を聞き取れませんでした。音声パケットが偽のシグナルパケットの洪水に埋もれてしまったからです。

研究者グループは、ある程度問題を解決できる対策を提案しています。今回の研究の調査対象となったネットワーク通信事業者2社は、いくつかの対策をすでに実施しています。

ドイツ(英語記事)やロシアなどは、VoLTEサービスを開始したばかりです。そういった国の場合、すべての通信事業者が素早く脆弱性に対応するというわけにはいかないことでしょう。

残念ながら、VoLTEの規格を変更しない限りパッチを適用できないような脆弱性もあります。もちろん、通信事業者は、これまで以上にネットワークで何が起きているか警戒し、電話とシグナルサーバー間の正規接続以外は、デバイス間のシグナルトラフィックを切断するでしょう。けれども、それで十分ということではありません。

VoLTEの問題をすべて解決するには、OEM、チップセットベンダー、通信事業者、標準化団体が協力して取り組む必要があります。

だからこそ、研究者はこの問題を広く世間に知ってもらおうとしているのです。問題が広く認識されるようになれば、解決策は早く見つかります。

利用者にできるのは、モバイルのセキュリティをもっと真剣に考えることです。ここまでで説明したような攻撃を実行するには、悪意あるアプリを攻撃対象のスマートフォンにインストールしなければなりません。強力なセキュリティ製品があれば、このようなモバイルマルウェアを検知できる公算が高くなります。

最後になりますが、人気のあるデバイスや、現在運用されている4Gネットワークの多くは、今のところVoLTEをサポートしていません。VoLTEが誰でも使えるサービスになる頃には、セキュリティの問題がすべて解決されていることを祈りましょう。