JPCERTコーディネーションセンター(JPCERT/CC)と情報処理推進機構(IPA)は10月19日、モバイル端末向け通信網「Voice over LTE (VoLTE)」に複数の脆弱性があると脆弱性対策のポータルサイト「JVN(Japan Vulnerability Notes)」上で発表した。見つかった脆弱性が万一悪用されてしまうと、携帯事業者と契約するVoLTE利用者が大きな影響を受ける恐れがある。
見つかったのは「重要な情報への不適切なアクセス権の割り当て(CW-732)」「不適切なアクセス制御(CWE-284)」「認証不備(CWE-287)」「セッションの固定化(CWE-384)」の4種類の脆弱性。「LTE通信網が前世代の回線交換方式と異なり、パケット交換方式で通信を行うため、以前は不可能だった新たな種類の攻撃手法が可能となる」と説明している。
「CW-732」は、Android OSのパーミッションモデルの不具合を突いた脆弱性。この脆弱性を攻撃者が悪用した場合、INTERNETパーミッションを利用して直接「SIP/IPパケット」を送信することで、端末の所有者に代わって発呼ができてしまう。
発呼はユーザーに通知されず、発呼が連続的に行われることで、過剰な課金請求やサービス運用妨害(DoS)につながる恐れがある。Appleは、iOSでは脆弱性の影響を受けないと回答している。
「CWE-284」は、「SIPサーバ」の管理外の通信を行うことが可能となる脆弱性。2つの携帯電話間(ピアツーピア)で直接セッションを確立することで、攻撃者によって電話番号の詐称などに悪用される恐れがある。
「CWE-384」では、1ユーザあたりの音声通信が1セッションに制限されていないため、複数のSIPセッションを確立できる脆弱性。これにより、DoS攻撃や、攻撃者がピアツーピアの通信を確立することに使われる可能性がある。「CWE-287」を悪用することで、いくつかの通信網でSIPメッセージの認証が適切に行われず、電話番号を詐称されるなどが考えられる。
なお、10月19日時点で各携帯事業者は脆弱性への対策を発表していない。
