監視業者が通信事業者経由で位置追跡悪用
原題: Surveillance vendors caught abusing access to telcos to track people’s phone locations, researchers say
なぜ重要か
通信インフラの脆弱性を悪用した大規模監視の実態が明らかになり、プライバシー保護とセキュリティ強化の緊急性が浮き彫りになった
デジタル権利団体Citizen Labが4月23日、監視業者2社が通信インフラの脆弱性を悪用し、偽装した携帯電話事業者として通信網にアクセスして個人の位置情報を追跡していたと発表した。SS7とDiameterプロトコルの既知の弱点を利用した攻撃で、イスラエルの019Mobileと英国のTango Networks U.K.が中継点として使われた。
Citizen Labは10年以上にわたって監視の悪用を告発してきたデジタル権利組織で、今回の報告書では2つの新たな監視キャンペーンを詳述している。監視業者らは「ゴースト」企業として正当な携帯電話事業者を装い、通信網へのアクセスを悪用して標的の位置データを取得していた。攻撃は世界の電話網を支える技術の既知の欠陥を継続的に悪用するものだった。悪用されたのはSignaling System 7(SS7)と呼ばれる2Gおよび3G網用プロトコルセットで、認証や暗号化を必要としないため、悪意のある事業者による悪用の余地を残している。新しいDiameterプロトコルは4Gおよび5G通信用に設計され、セキュリティ機能を含むがCitizen Labは通信事業者が新しい保護機能を常に実装しているわけではないため、まだ悪用の余地があると指摘している。2つの監視キャンペーンは共通して3つの特定通信事業者を「監視の侵入および中継点」として悪用していた。これにより監視業者とその背後にいる政府顧客は「インフラの陰に隠れる」ことができたと研究者らは説明している。