携帯電話キャリアの英O2は,携帯電話機に暗証番号を設定できるオプションを提供している。これにより,携帯電話機が誰かに盗まれても,勝手に電話されることを防止できる。盗んだ人物が誤った暗証番号を3回入力すると,携帯電話機にロックがかかる。正規の持ち主がミスタイプで携帯電話機をロックしてしまったり,暗証番号を忘れてしまったりした場合に対処するため,O2は問い合わせに応じてロック解除用コード「Personal Unlock Code(PUK)」を発行してくれる。おそらくO2は,問い合わせをしてきた人物が正規の持ち主であることを確認するために,何らかの認証作業を行っているはずだ。
ここまでは問題ない。
ところが,O2はPUK発行処理の自動化を決定した。これにより,インターネット経由でO2のWebサイトにアクセスして携帯電話機の有効な電話番号を入力すると,認証プロセスを受けることなく,誰でも暗証番号をリセットするPUKを入手できるようになった。
この発行処理は悪いアイデアのように思える。しかし私がこのことを自分のブログで取り上げた後,O2の関係者から以下の情報をもらった。
「おっしゃる通り,O2がこのような発行サービスを用意していることは,セキュリティ・リスクにつながるように見えます。しかし我々は,このリスクは極めて小さいと考えています。リスクが生ずるのは,ユーザーが携帯電話機をなくしたか盗まれたときです。その際のシナリオは2つあります」
「シナリオ1――携帯電話機の電源が切れていた場合:この状態で電源を入れると,暗証番号の入力が求められます。PUKがあれば暗証番号をリセットできますが,PUKを手に入れるにはSIMカード内にある電話番号を知る必要があります。SIMや携帯電話機そのものから電話番号を調べる方法は存在しません。仮に電話番号が知られていたら,リスクの内容はシナリオ2と同じになります」
「シナリオ2――携帯電話機の電源が入っていた場合:盗んだ人物は,PUKを入手しなくても好きなように携帯電話機を使えます」
「いずれのシナリオでも,利用者にとっての本質的なセキュリティ対策は,できるだけ迅速に携帯電話機の紛失や盗難を報告してもらうことだと判断しました。報告してもらえれば,遠隔操作でSIMと(ほかのSIMを入れても使えないようにするために)携帯電話機の使用を禁止できます」
O2のPUK発行用Webサイト:
<http://www.o2.co.uk/puk/landing/0,,555,00.html >
Copyright (c) 2006 by Bruce Schneier.
◆オリジナル記事「Getting a Personal Unlock Code for Your O2 Cell Phone」
◆「CRYPTO-GRAM July 15, 2006」
◆「CRYPTO-GRAM July 15, 2006」日本語訳ページ
◆「CRYPTO-GRAM」日本語訳のバックナンバー・ページ
◆この記事は,Bruce Schneier氏の許可を得て,同氏が執筆および発行するフリーのニュース・レター「CRYPTO-GRAM」の記事を抜粋して日本語化したものです。
◆オリジナルの記事は,「Crypto-Gram Back Issues」でお読みいただけます。CRYPTO-GRAMの購読は「Crypto-Gram Newsletter」のページから申し込めます。
◆日本語訳のバックナンバーは「Crypto-Gram日本語訳」のページからお読みいただけます。
◆Bruce Schneier氏は米Counterpane Internet Securityの創業者およびCTO(最高技術責任者)です。Counterpane Internet Securityはセキュリティ監視の専業ベンダーであり,国内ではインテックと提携し,監視サービス「EINS/MSS+」を提供しています。
