元米国の諜報機関CIAやNSAの職員で、あまりに多くの秘密を暴露したため米国政府に追われ、現在ロシアに亡命しているエドワード・スノーデン（Edward Snowden）。スノーデンがThe Interceptに提供した文書の中で、米国と英国の諜報機関が、かつてGemalto社（ジェムアルト社、オランダの会社）のシステムに入り込んで認証キーを盗みとったとされており、それがThe Interceptによって公開されにわかに問題となっている。

盗みとられた携帯電話SIMカードの認証キーと、その影響とは

諜報機関によって盗み出された認証キーがあれば、製造されたSIMカードの音声通信やデータ通信などのモバイル通信の内容を全て読み取ることができる。しかも、情報によれば、これらの盗み出された認証キーを使うことによって通信会社の許可を得ることなく、対象のSIMカードユーザのモバイル通信の内容をモニタリングできるとのこと。また、この方法でのモニタリングは、無線キャリアの記録に一切痕跡を残さないため、追跡が不可能という。つまり、ユーザや携帯電話通信キャリアやインターネットプロバイダ、そしてそのSIMが稼働している国の政府にさえそのことを気づかれることはないのだ。

例えて言えば他人の家のドアの鍵を盗んだも同然で、攻撃者はドアの鍵を破る必要もなければ、正当な鍵で開けられるので家の持ち主も警備会社もそれに気づかないというようなものだ。

更に、諜報機関は盗みだした暗号化キーを使って、以前傍受したが暗号が解けずに不明となっていたデータについても解析ができるようになるという。

認証キーを盗んだのは、米英の諜報機関による連合チームだった

上記で暴露された侵入は、NSAと英国政府通信本部（GCHQ）の連合チームによって行われたもので、詳細については既に2010年のGCHQの書類の中で披露されている。この連合チームは2010年4月に結成され、コードネームは”MHET”といい、現在でもその存在はトップシークレットとなっている。

Gemalto社は世界最大のSIM発行会社

そして、恐ろしいことに今回認証キーを盗まれたGemalto社は、AT&T・T-Mobile・VerizonやSprintを含む世界中の携帯キャリア450社に対して、毎年約20億枚のSIMカードを支給している世界最大のSIM発行会社だということだ。また、同社はSIMカード以外にも世界中の政府を含む顧客に対して身分証、銀行カード、ICパスポート、その他のデジタルセキュリティソリューションを提供している。

上記の事件を受けてGemaltoの副社長（副COO）のPaul Beverly氏は、「事件は既に発生してしまっていて、非常に心配と不安を感じる。現在のところ私達が知りたいのは、このことがユーザに対してどんな悪い結果をもたらすかということだけだ」と取材に答えて語っている。

携帯電話SIMカードの暗号化の仕組みとMHETによる傍受の方法

携帯電話で使われるSIMカードには、Gemalto社のような”パーソナライゼーション会社”により、認証キー、つまりAuthentication Key (Ki)が焼き込まれる。このAuthentication KeyはSIMをネットワーク上で認証する目的と、暗号鍵を生成するために使われる。このAuthentication KeyはSIMカードに焼きこまれるためにSIMからは取り出せなくなるが、上述の通りSIMカードの認証のためには携帯電話キャリアもそのAuthentication Keyを持たなければならないために、何らかの方法でAuthentication Keyがパーソナライゼーション会社からキャリアに送信され受け渡されることになる。

今回明らかになったのはその送り方に問題があったということだ。
Gemaltoはキャリアに対してこのAuthentication Keyを大量にまとめてFTPやE-mailで送っていたとのこと。またその際にファイルの暗号化が非常に弱かったり、または暗号化もせずにそのままプレーンテキストで送ったりしていたこともあったとのこと。

米NSAと英CGHQによる連合チーム”MHET”は、まずはGemalto社の従業員のメールによって同社の社内ネットワークに入り込み、そして上記のAuthentication Keyの送信に関わる重要人物を見つけ出し、そしてその通信を傍受することで大量のAuthentication Keyの送信ファイルをゲットすることができたということのようだ。

Gemalto社はモバイルセキュリティのソリューションを各国政府を含めて世界中に提供している会社にしては、随分とお粗末なやり方をしていたのが問題だ。こんなやり方がまかり通っていたということは、社内監査も緩かったと思われる。正に”紺屋の白袴”との誹りを免れないだろう。
こんなやり方をしていたのでは、いくら暗号化を複雑にしたとしても、別のところで簡単に破られてしまうので意味がないということになる。セキュリティというのは、一箇所だけを強くしても、全体的に守られていなければ意味がないということなのだろう。特にネットワーク化が進んだ現代においては。

日本や中国にも関係ある

上述の記事にあったキャリアは米国のキャリアばかりあげられていたため、日本人の皆さんは自分たちには関係ない。。かと思うかもしれないが、毎年約20億枚もSIMカードを製造しているということは世界の殆どのSIMカードを作っている。もちろん、そこには日本や中国のキャリアも含まれている（Softbankで使われていることは確認済み）。

Gemalto社のサイトには日本語のページも中国語のページも存在しており、日本や中国においてもモバイルデータ通信やセキュリティ、そしてモバイルペイメントにも深く関わっていることが読み取れる。

Gemalto社は取引先を明らかにはしていないようだが、我々がモバイルデバイスを使うとそこに何らかの彼らの技術が使われているのは間違いない。ということで、この問題はひとごとではないということだ。

画蛇添足

米英はGemalto社を狙うとは頭がいい、というより当たり前の行動なのかもしれないが、それよりもGemalto社そのものが実はそのような目的を持って米英を代表する西側諸国の投資で出来ていたりするのではないかと勘ぐったりしたくなるほど、これは大変大きなニュースだと思う。そうでなかったとしても、セキュリティに万全というものはないのだなということを思い知らされた形だ。

今後、Gemalto社の製品やサービスの使用については他の国は慎重にならざるを得ないだろう。
ただ、今回の事件によって、認証キーや暗号鍵の扱いについては、Gemaltoを含めパーソナライゼーション会社の各社が更に厳重になると思われるので、今後発行されるSIMカードについては安全なのかもしれない。

我々一般ユーザとしては、唯一の方法として、SIMカードを紛失したことにして再発行をするなどをすることで認証キーを切り替えることができる。
とはいえ、そんなことをするような人は、米英連合諜報機関”MHET”に傍受されると困るような通信を行っている人限定だが。。笑

セキュリティ関係者の方々には、今後認証キーや暗号鍵の扱いについてはますます慎重になってもらいたいものだ。簡単な通信で受け渡しをしていると、今回のような事件に発展し、会社の信頼性そのものを揺るがしかねないからだ。

記事は以上。

（参照ソース：the intercept、the guardian、The Verge）