LTEの欠陥により大統領緊急警報を「容易に」偽装可能

4G通信規格のLTEにセキュリティー脆弱性が見つかり、国の非常事態を知らせる大統領緊急警報(プレジデンシャル・アラート)をハッカーが「容易に」発信できることがわかった。

市販されている機器とオープンソースのソフトウェアを使うだけで、5万人収容のフットボールスタジアムにあるすべての携帯電話に向けてニセの警報を送りパニックを起こさせることが容易にできる、とコロラド大学ボルダー校の研究チームが先週報告した

アタックの実験は10回中9回成功した。

昨年、連邦緊急事態管理局(FEMA)は、無線緊急警報(WEA)システムを用いた「大統領緊急警報」テストを初めて行った。これは、災害などの非常事態に、大統領から多数の国民に向けてメッセージを送ることのできる最先端システムのテストの一環として行われた。

しかしそのシステム(気象警報や誘拐速報にも使用される)は完璧ではなかった。昨年米国と北朝鮮の間に緊張が走るなか、弾道ミサイル攻撃を受けたという誤警報がハワイ州民に送られた。メッセージには、「訓練ではない」との文言が誤って入っていた。

完全に安全なシステムは存在しないが、この数年間起きている問題はほとんどが人的ミスによるものだった。しかし研究者らは、メッセージの一斉配信にLTEネットワークを使っていることが最大の弱点だと指摘する。

同システムはメッセージ送信に一般のテキストメッセージではなく、LTEを使用しているため、基地局は範囲内にある全デバイスに対して特定チャンネルに警報を送る。チャンネルがわかれば、誰でも偽の警報を全デバイスに送ることができる。

さらに悪いことに、受け取った警報の信憑性を検証する方法はない。

研究者によると、この脆弱性を修正するためには「通信事業者、政府関係者、および携帯電話メーカーによる大がかりな協同作業が必要になる」。一斉送信する警報にデジタル署名を付加することは「魔法の解決策」ではないが、偽メッセージの送信がずっと困難になるという。

LTEの似たような脆弱性は昨年にも見つかっており、研究者らは偽の警報メッセージを送るだけでなく、テキストメッセージを盗み読みしたり、利用者の位置情報を追跡することができた。

[原文へ]

(翻訳:Nob Takahashi / facebook