ドイツの暗号専門家が携帯電話の乗っ取りを可能にするSIMカードの脆弱性を発見したと、複数の米メディア(New York TimesForbesCNET News.comなど)が現地時間2013年7月21日に報じた。7億5000万台の携帯電話が影響を受ける恐れがあるという。

 ドイツのモバイルセキュリティ会社Security Research Labsの設立者で暗号専門家のKarsten Nohl氏によると、この脆弱性を突くことにより、サイバー犯罪者はSIMカードの56桁のデジタルキーを取得し、端末に変更を加えられるようになる。

 同社が行った実験では、テキストメッセージを介してSIMカードにウイルスを送りつけ、端末の盗聴、モバイル決済による商品購入、端末所有者のなりすましが可能であることを確認した。実験には基本的なパソコンを使用し、2分ほどで攻撃を遂行できたという。

 Nohl氏は、「われわれは、携帯電話にソフトウエアをリモートからインストールし、所有者の意思とは別に操作することに成功した」と述べている。

 脆弱性が見つかったのは、米IBMが1970年代に開発した暗号化手法Digital Encryption Standard(DES)。主要なキャリアはDESを強化したTriple DESに移行しているが、依然として旧バージョンを採用しているキャリアも多い。

 Nohl氏は7月27日より米ネバダ州ラスベガスで開催されるセキュリティ会議「Black Hat」で同脆弱性の詳細を発表する予定。なお、同脆弱性については、すでにGSMネットワークの業界団体GSM Associationに報告している。