「VoLTE」に複数の脆弱性、具体的な解決策は現在不明

ブロードバンドセキュリティ

注目記事

2015.10.19（月）17:49

JPCERT/CCによる脆弱性分析結果（CVSS Base Metrics）全 2 枚

　IPA（情報処理推進機構）セキュリティセンターおよびJPCERTコーディネーションセンター（JPCERT/CC）は19日、Voice over LTE（VoLTE）に複数の脆弱性が存在することを、脆弱性対策情報ポータルサイト「JVN」において発表した。

　LTE回線は、回線交換方式ではなくパケット交換方式で通信を行うため、従来は不可能だった攻撃が可能になる。そのため、LTE通信網とモバイルアプリケーションの実装によっては、「重要な情報への不適切なアクセス権の割り当て（CW-732）」「不適切なアクセス制御（CWE-284）」「認証不備（CWE-287）」「セッションの固定化（CWE-384）」といった問題が発生し、プライバシー侵害、不正請求、なりすましに繋がるという。

　これらの脆弱性を悪用されると、他の端末からデータを取得したり、電話番号を詐称したりされる可能性がある。また悪意あるアプリケーションは、端末ユーザーに気付かれることなく通話を実行できるとのこと。現在、これらの問題に対する具体的な解決策は不明だ。

　これらの脆弱性は、セキュリティ研究者が調査を行った結果、発見された。先週コロラド州デンバーで開催された「ACM CCS 2015」にて、Hongil Kim氏らが発表を行っており、JVNは「JVNVU#93463833」を割り当てている。

《冨岡晶》