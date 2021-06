2021年06月18日 11時14分 セキュリティ

初期の携帯電話のネットワークに「意図的にバックドアが仕込まれていた」と暴露する論文が発表される

by Patrick Breen



1990年~2000年代の携帯電話のネットワークに、根本的な暗号化アルゴリズムの脆弱(ぜいじゃく)性があったことが判明したとの論文が発表されました。この脆弱性が偶然に紛れ込んだ可能性が極めて低いことから、暗号技術の専門家らは「初期の携帯電話ネットワークは意図的に脆弱に設計されたものだった」と結論付けています。



フランスのレンヌ大学やドイツのルール大学ボーフムの研究者らが2021年6月16日に、初期の携帯電話業界がGPRS規格の第2世代移動通信システム(2G)を採用した際に使われた暗号化アルゴリズムの「GEA-1」で、バックドアとみなせるような脆弱性が見つかったことを発表しました。研究者チームはGEA-1の入手元を、「匿名を希望する情報提供者」として詳細を伏せました。



by rhoadeecha



研究チームによると、GEA-1は暗号強度が64ビットだとされていたにもかかわらず、実際には40ビット程度しかなかったとのこと。そのため、ネットワークの攻撃者は暗号鍵を解析して、極めて容易に通信内容を復号できたとされています。



ジョンズホプキンス情報セキュリティ研究所で暗号技術を教えているマシュー・グリーン氏は、64ビットと40ビットの暗号レベルの違いについて、「24ビットしか違わないから大したことじゃないと思う人もいるかもしれませんが、セキュリティの観点からすると1677万7216倍もの差が出る可能性があるものです」と述べています。





研究チームは論文の中で、「一般的に使用される乱数生成技術を使って100万回試行しても、これほどまでに脆弱なアルゴリズムを作り出せる可能性すら見いだせなかった」と述べて、脆弱性はセキュリティを40ビットレベルに制限するために意図的に混入されていたものだったと結論付けました。なお、同じ情報提供者から入手した次世代の暗号化アルゴリズムである「GEA-2」も、同様にセキュリティレベルが不十分だったものの、作為的に脆弱性を紛れ込ませたような痕跡は見られなかったとのことです。



GEA-1を設計した欧州電気通信標準化機構(ETSI)はIT系ニュースサイト・Motherboardの取材に対し、アルゴリズムに脆弱性があったことを認めた上で、「我々はGEA-1の強度を制限する輸出規制に従いました」と説明しました。



開発者向けのコミュニティサイトのXDA Developersは、ETSIが言及した規制について「おそらくフランスの法令『98-206』と『98-207』でしょう。GEA-1が開発されたのと同じ1998年に公布されたこの法令では、『40ビット以下の暗号技術やサービスは、認可や申告が免除される』ということになっています」と指摘しています。





論文の著者であるHåvard Raddum氏はこれについて、「政治的な必要性から、何百万人もの携帯電話ユーザーが貧弱なセキュリティにさらされていたことになります」とコメントしました。



Raddum氏によると、記事作成時点では多くの国でGEA-3とGEA-4が使われているため、リスクはかなり低くなっているとのこと。しかし、依然としてGEA-1の携帯電話ネットワークを使用している地域もあるそうです。



グリーン氏は「幸いなことに、GEA-1は今日では古い携帯電話の一部で使われているだけです。しかし、それは喜ぶべきことではありません。なぜなら、政府が暗号化を規制する動機は、当時も今も変わらないからです。私たちの中には、政府がもうこんなことをしないほど賢明になったとか、私たちが彼らの企てを見抜けるほど賢くなったとか考える人もいるでしょう。実際そうかもしれませんが、私はそうは思いません」とコメントしました。