SIMカードの脆弱性とそれを悪用する攻撃「Simjacker」について、通信会社向けのサイバーセキュリティ企業AdaptiveMobile Securityが解説している(AdaptiveMobile Securityのブログ記事、 Android Policeの記事、 The Next Webの記事、 Ars Technicaの記事)。

Simjackerの脆弱性とは、一連のSIM Toolkit (STK)コマンドを含む特別に細工したSMSを受信することで、それらのSTKコマンドが実行されてしまうというものだ。コマンドの実行環境としては、SIMカード内のS@T (SIMalliance Toolbox) Browserというソフトウェアが使われる。S@Tは2009年以降更新されていないという古い規格で、機能の多くが新しいテクノロジーで置き換えられているものの、現在も広く使われているという。

具体的な攻撃としては、ターゲットにSimjacker用に細工したSMSを送り付け、ターゲットに気付かれることなくIMEIや位置情報などを記載したSMSを送信させるというものが挙げられている。エクスプロイトは複数の国の政府が特定の個人を監視するために使用しているそうだ。攻撃用SMSに含めるSTKコマンドを変えることで、偽情報を記載したSMS/MMSを送信することや、ターゲット側から電話をかけさせて音声を聞くこと、Webブラウザーを起動して別のマルウェアを実行させること、SIMカードを無効化することなども可能となる。マルウェアのリンクを送付するなど、SMSがサイバー攻撃に使われるのは珍しくないが、マルウェアそのものを含むSMSが現実の攻撃で使われるのは初めてのようだ。

こういった攻撃を防ぐためAdaptiveMobile Securityでは顧客の携帯通信会社と協力しているほか、GSM Association(GSMA)やSIMallianceと脆弱性情報を共有している。その結果、GSMAではGSMA CVDプログラムを通じたモバイルコミュニティー全体での情報共有が行われ、SIMallianceではS@T仕様に関する新しいセキュリティガイドライン(PDF)を公開している。

なお、Simjackerの詳細については、10月2日～4日に英国・ロンドンで開催されるVirus Bulletin International Conference (VB2019)で10月3日に発表予定とのことだ。