VoLTEの実装に複数の脆弱性、悪意のあるアプリで勝手な通話も（JVN）

IPAおよびJPCERT/CCは、モバイル端末向け通信網「Long Term Evolution（LTE）通信網」とモバイルアプリケーションの実装に複数の脆弱性が存在すると「JVN」で発表した。

脆弱性と脅威セキュリティホール・脆弱性

2015.10.19 Mon 19:05

独立行政法人情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は10月19日、モバイル端末向け通信網「Long Term Evolution（LTE）通信網」とモバイルアプリケーションの実装に複数の脆弱性が存在すると「Japan Vulnerability Notes（JVN）」で発表した。CVSSによる最大Base Scoreは5.5。なお、現時点で解決方法は不明となっている。

いくつかのLTE通信網とモバイルアプリケーションの実装には、パケット交換とIPプロトコル、特にSession Initiation Protocol（SIP）を使用することから、新たな攻撃手法が可能になる。悪用される可能性のある脆弱性には、重要な情報への不適切なアクセス権の割り当て、不適切なアクセス制御、認証不備、セッションの固定化などが挙げられる。

これらの脆弱性が悪用されると、通信網を使用する攻撃者によりピアツーピア通信を確立して他の端末からデータを取得されたり、電話番号を詐称されるる可能性がある。また、悪意のAndroidアプリケーションにより、端末ユーザに気づかれることなく通話を実行される可能性可能性がある。なお、LTE通信網の実装は通信キャリアごとに異なるため、これらすべての脆弱性がひとつのLTE通信網に存在するというわけではないとしている。

《吉澤亨史（ Kouji Yoshizawa ）》