ニュース

VoLTEの実装で複数の脆弱性と報告

 JPCERTコーディネーションセンターは、セキュリティ研究者が行った調査結果として、LTE網へのVoLTEの実装、およびAndroid上でのVoLTEにおいて、複数の脆弱が発見されたと報告している。

 今回報告されている脆弱性について、ソフトバンクは「該当しない」とコメントしている。NTTドコモは「ネットワークと端末について、最終確認中」としている。KDDIからの回答は得られていない。

【2015/10/20 16:11 追記】
 KDDIは「端末とネットワークの両面で確認中」とコメントしている。

【2015/10/21 14:10 追記】
 KDDIは「端末とネットワークの両面で確認中」とコメントしていたが、その後、同社の端末とネットワーク上では同事象が発生しないことが確認された、としている。

【2015/10/22 18:36 追記】
 ドコモは、「ドコモの端末・ネットワークでは、この脆弱性の影響を受けないことが確認された」としている。

報告の概要

 海外のセキュリティ研究者が報告した内容を元に、米CERTをはじめ、国内のJPCERTでも10月19日付で情報が掲載されている。GoogleのAndroidおよび一部の通信キャリアのVoLTEの組み合わせで影響を受けとする。米CERTでは、AT&T、T-Mobile、Verizon Wirelessについて、影響度が不明(調査中)とする現在のステータスを公表している(10月19日時点)。

 報告では、Androidの不適切なパーミッションにより、ユーザーへの通知なく、発呼が連続的に行えるとし、過剰な請求やサービス運用妨害(DoS)につながる可能性があるとしている。Appleは、iOSでこの問題の影響は受けないと報告している。

 一部のネットワークでは、ピアツーピアで直接セッションを確立して、SIPサーバーの管理外で通信が行え、これらの通信は通話料の対象にならないと指摘。電話番号の詐称や無料のビデオ通話に使用される可能性があるという。

 いくつかのネットワークでは、SIPメッセージの認証が適切でなく、電話番号を詐称される可能性がある。

 一部のネットワークではまた、1ユーザーあたりの音声通信が1セッションに制限されておらず、複数のSIPセッションを確立でき、DoS攻撃が可能になるとされている。

太田 亮三