無線通信×セキュリティ

Security/Radio/IoT/Mobile/Network

4G LTEネットワークの新たな脆弱性

SlideShareに解説資料を上げました 

 
 

最新の4G LTE脆弱性が公表されたニュース 

LTE脆弱性について話題になっていますね。

japan.cnet.com

gigazine.net

jp.techcrunch.com

 

以上のように様々なサイトでニュース記事になりましたが、4G LTEネットワークの脆弱性について新たに10個の攻撃手法がアメリカの研究者によって公表されました。しかも、攻撃に使うツールが、先日ブログ記事にしたばかりのOpenLTEを用いたものでした!

tansokun920.hatenablog.com

これは、、、元となった論文を読むしかない!と思い一通り読んでみましたので、解説したいと思います。 

論文の概要

タイトル:LTEInspector: A Systematic Approach for Adversarial Testing of 4G LTE

著者:Syed Rafiul Hussain, Omar Chowdhury, 他2名

https://assets.documentcloud.org/documents/4392401/4G-LTE-attacks-paper.pdf

http://wp.internetsociety.org/ndss/wp-content/uploads/sites/25/2018/02/ndss2018_02A-3_Hussain_paper.pdf

攻撃するプロセス

  1. Attach : 4G LTEネットワークに最初に接続する際のプロセス。認証を行う。
  2. Detach:4G LTEネットワークから切断するプロセス。
  3. Paging:着信時などに行われるプロセス。

攻撃手法一覧と影響範囲

 10件の攻撃手法が公開されました。内8件は検証済みのようです。

この中で、影響の大きい攻撃手法はA-4の攻撃ですが、そもそもキャリア側の設定で暗号化がOFFになっていないといけません。そんなアフォなオペレータなんでいないでしょ、と思ったら、論文の中でアメリカのオペレータ4社の内1社が暗号化していない設定になっていたとのこと。(日本国内では存在しないはずです)

容易にできて、影響もありそうな攻撃はA-3などです。攻撃者が用意した偽装基地局に引き込まれたユーザはサービス利用不能になる影響があります。ただ、日本国内でそんな攻撃仕掛けたら電波法違反、即逮捕〜になりそうですね。

またP-3の攻撃は、いわゆる緊急地震速報やJ-Alertと呼ばれる緊急速報メッセージを偽装して送る攻撃になります。これは、直接的な被害は無いのですが、このメッセージを受けることで、混乱を引き起こしたり、偽物のメッセージが出てばかりいると、本当の緊急速報まで無視されかねないものになります。そういった意味では影響がでかい攻撃の一つになります。

ID

攻撃名

影響する

プロセス

前提条件

攻撃の影響

検証状況

攻撃

コスト

危険度

私見

攻撃

難易度

(私見)

A-1

Authentication Synchronization Failure

Attach

攻撃対象の端末識別番号(IMSI)を知る必要がある

特定の端末がサービス不能になる

済み

$2,600

A-2

Traceability

Attach

偽装基地局が必要

基地局設置場所レベルの位置情報漏洩

済み

$2,600

A-3

Numb using auth reject

Attach

偽装基地局が必要

端末がサービス不能になる

済み

$1,300

A-4

Authentication relay Attack

Attach

・攻撃対象の端末識別番号(IMSI)を知る必要がある

・偽装基地局が必要

・偽装端末が必要

・キャリア側の設定で暗号化OFF

メッセージの盗聴

サービス不能

位置情報履歴の改竄

済み

$3,900

超難

P-1

Paging channel hijacking

Paging

偽装基地局が必要

着信サービス不能

済み

$1,300

P-2

Stealthy kicking-off

Paging

・攻撃対象の端末識別番号(IMSI)を知る必要がある

・偽装基地局が必要

端末をサービス不能にする

済み

$1,300

P-3

Panic

Paging

偽装基地局に接続させる必要がある

混乱を引き起こす

$1,300

低 (?)

P-4

Energy depletion

Paging

・攻撃対象の端末識別番号(IMSI)を知る必要がある

・端末が接続した際の識別番号(GUTI)を知る必要がある

・偽装基地局が必要

バッテリ切れ

一部済み

$1,300

P-5

Linkability

Paging

・攻撃対象の端末識別番号(IMSI)を知る必要がある

基地局設置場所レベルの位置情報漏洩

$1,300

D-1

Detach/ Downgrade

Detach

・攻撃対象の端末識別番号(IMSI)を知る必要がある

・偽装基地局が必要

サービス不能

2G/3Gへのダウングレード

済み

$1,300

まとめ

10個も攻撃手法出てきましたが、正直LTEを知っている人からしたら、まあこういうものだよ、と感じるものばかりでした。ただ、今はOpenLTEなる安価に基地局を作れるオープンソースが出てきたため、こういった攻撃が容易にできていますことが、大きな問題なのかなと感じています。

詳細の攻撃手法をまとめたスライドを後日スライドシェアに上げたいと思います。

(※3/16にアップしました。)

 

LTEの概要を学ぶなら次の一冊

 

ワイヤレス・ブロードバンド HSPA+/LTE/SAE教科書 (インプレス標準教科書シリーズ)

ワイヤレス・ブロードバンド HSPA+/LTE/SAE教科書 (インプレス標準教科書シリーズ)

 
ワイヤレス・ブロードバンド HSPA+/LTE/SAE教科書 (インプレス標準教科書シリーズ)

ワイヤレス・ブロードバンド HSPA+/LTE/SAE教科書 (インプレス標準教科書シリーズ)