4G LTEネットワークの新たな脆弱性

SlideShareに解説資料を上げました

4G LTE ネットワークの脆弱性 [LTEInspector_A Systematic Approach for Adversarial Testing of 4G LTE] 解説資料 from Ryosuke Uematsu

論文の概要

タイトル：LTEInspector: A Systematic Approach for Adversarial Testing of 4G LTE

著者：Syed Rafiul Hussain, Omar Chowdhury, 他2名

https://assets.documentcloud.org/documents/4392401/4G-LTE-attacks-paper.pdf

http://wp.internetsociety.org/ndss/wp-content/uploads/sites/25/2018/02/ndss2018_02A-3_Hussain_paper.pdf

攻撃するプロセス

Attach : 4G LTEネットワークに最初に接続する際のプロセス。認証を行う。
Detach：4G LTEネットワークから切断するプロセス。
Paging：着信時などに行われるプロセス。

攻撃手法一覧と影響範囲

10件の攻撃手法が公開されました。内8件は検証済みのようです。

この中で、影響の大きい攻撃手法はA-4の攻撃ですが、そもそもキャリア側の設定で暗号化がOFFになっていないといけません。そんなアフォなオペレータなんでいないでしょ、と思ったら、論文の中でアメリカのオペレータ4社の内1社が暗号化していない設定になっていたとのこと。(日本国内では存在しないはずです)

容易にできて、影響もありそうな攻撃はA-3などです。攻撃者が用意した偽装基地局に引き込まれたユーザはサービス利用不能になる影響があります。ただ、日本国内でそんな攻撃仕掛けたら電波法違反、即逮捕〜になりそうですね。

またP-3の攻撃は、いわゆる緊急地震速報やJ-Alertと呼ばれる緊急速報メッセージを偽装して送る攻撃になります。これは、直接的な被害は無いのですが、このメッセージを受けることで、混乱を引き起こしたり、偽物のメッセージが出てばかりいると、本当の緊急速報まで無視されかねないものになります。そういった意味では影響がでかい攻撃の一つになります。

ID	攻撃名	影響するプロセス	前提条件	攻撃の影響	検証状況	攻撃コスト	危険度（私見）	攻撃難易度 (私見)
A-1	Authentication Synchronization Failure	Attach	攻撃対象の端末識別番号（IMSI）を知る必要がある	特定の端末がサービス不能になる	済み	$2,600	中	難
A-2	Traceability	Attach	偽装基地局が必要	基地局設置場所レベルの位置情報漏洩	済み	$2,600	低	難
A-3	Numb using auth reject	Attach	偽装基地局が必要	端末がサービス不能になる	済み	$1,300	中	易
A-4	Authentication relay Attack	Attach	・攻撃対象の端末識別番号（IMSI）を知る必要がある・偽装基地局が必要・偽装端末が必要・キャリア側の設定で暗号化OFF	メッセージの盗聴サービス不能位置情報履歴の改竄	済み	$3,900	高	超難
P-1	Paging channel hijacking	Paging	偽装基地局が必要	着信サービス不能	済み	$1,300	中	難
P-2	Stealthy kicking-off	Paging	・攻撃対象の端末識別番号（IMSI）を知る必要がある・偽装基地局が必要	端末をサービス不能にする	済み	$1,300	中	難
P-3	Panic	Paging	偽装基地局に接続させる必要がある	混乱を引き起こす	未	$1,300	低 (?)	易
P-4	Energy depletion	Paging	・攻撃対象の端末識別番号（IMSI）を知る必要がある・端末が接続した際の識別番号(GUTI)を知る必要がある・偽装基地局が必要	バッテリ切れ	一部済み	$1,300	低	難
P-5	Linkability	Paging	・攻撃対象の端末識別番号（IMSI）を知る必要がある	基地局設置場所レベルの位置情報漏洩	未	$1,300	低	難
D-1	Detach/ Downgrade	Detach	・攻撃対象の端末識別番号（IMSI）を知る必要がある・偽装基地局が必要	サービス不能 2G/3Gへのダウングレード	済み	$1,300	中	難