10月20日にJPCERT/CCとIPA(情報処理推進機構)が公表した「VoLTE」の脆弱性。携帯各社によると「顧客への影響はない」としている。
同日に公表された脆弱性は「重要な情報への不適切なアクセス権の割り当て(CW-732)」「不適切なアクセス制御(CWE-284)」「認証不備(CWE-287)」「セッションの固定化(CWE-384)」の4種類。
「CW-732」は、Android OSのパーミッションモデルの不具合を突いた脆弱性で、iOSは対象外。その他の脆弱性についても、いずれも「SIP(Session Initiation Protocol)」と呼ばれるIP電話に使われる制御プロトコルに関するもので、電話機同士で接続して電話番号を詐称して通話されたり、DoS攻撃が行われる可能性があるとしていた。
この件について、携帯3社に「脆弱性への対策は行っているか」と尋ねたところ、
「ドコモのネットワークでは本脆弱性の悪用による、ドコモのネットワークが認知できないような不正通信が発生することはありません」(NTTドコモ広報部)
「脆弱性を悪用するようなケースは該当しません」(ソフトバンク広報部)
「端末やネットワークで検証を行いましたが、問題ないことを確認しております」(KDDI広報部)
との回答を得た。各社、該当する脆弱性について検証を行った上での回答のため、「VoLTE端末だから危険だ」といった心配は杞憂に終わりそうだ。
