昨年9月中旬、世界中で「シムジャッカー」事件が勃発した。当社の携帯電話に搭載されている SIM カードのこの脆弱性は、S@T Browser (SIMalliance Toolbox Browser) と呼ばれるソフトウェアの一部に関連しています。これにより、オペレータはさまざまな機能を実行できるようになり、端末にショート メッセージの送信、通話の確立、ブラウザの起動、コマンドの実行、またはデータの送信を指示する一連の命令が含まれています。
このために特別に作成された単純な SMS を受信することで、攻撃者はデバイスの位置とその IMEI を取得し、SMS の送信者の身元を偽装し、SMS でプレミアム番号詐欺を送信し、希望する番号への通話を強制し、ユーザーのブラウザーで悪意のあるリンクを開き、DDoS 攻撃を実行し、携帯電話でサウンドを再生し、カードを取り外し、携帯電話から情報 (言語、接続タイプ、バッテリーレベル) を取得することができます。
問題は、SIM カードの規格が2009 年以来更新されていないこと、つまり 10 年前のソフトウェアを使用していることです。幸いなことに、SIM カードの問題の発見を担当したセキュリティ会社 AdaptiveMobile Security は、メキシコ、コロンビア、ペルーに住んでいない限り、攻撃を受ける可能性は非常に低いと指摘しています。脆弱なオペレーターが存在する唯一の地域ではありませんが、攻撃が検出された地域はこれらのみです。
Simjacker の脆弱性の影響を受ける国のリスト
症例はメキシコ、コロンビア、ペルーでのみ検出されていますが、Simjackerに対して脆弱なSIMカードを使用している通信事業者が存在する唯一の国ではありません。合計すると、この脆弱性は 29 か国、61 の携帯電話事業者に存在しており、攻撃者がいつでも悪用できる可能性があります。
Simjacker の脆弱性の影響を受ける国のリストは次のとおりです。
- メキシコ
- グアテマラ
- ベリーズ
- ドミニカ共和国
- エルサルバドル
- ホンジュラス
- パナマ
- ニカラグア
- コスタリカ
- ブラジル
- ペルー
- コロンビア
- エクアドル
- チリ
- アルゼンチン
- ウルグアイ
- パラグアイ
- コートジボワール
- ガーナ
- ベナン
- ナイジェリア
- カメルーン
- イタリア
- ブルガリア
- キプロス
- サウジアラビア
- イラク
- レバノン
- パレスチナ
ご覧のとおり、ヨーロッパにはキプロス、イタリア、ブルガリアしかありませんが、ラテンアメリカでは事実上すべての国がシムジャッカーの影響を受けており、事態はより懸念されています。今回、スペインはシムジャッカーを排除しましたが、これらの攻撃やその他の攻撃からSIM カードをどのように保護できるかを知ることが重要です。