ハクソク

世界を動かす技術を、日本語で。

O2 VoLTE:電話で顧客を特定する方法

373日前原文(mastdatabase.co.uk)

概要

O2 UKのVoLTE(4G Calling)サービスにより、通話発信者が受信者の位置情報や端末識別子を容易に取得できる深刻なプライバシー問題が発生。 IMS(IP Multimedia Subsystem)の複雑な実装と不適切な設定が根本原因。 受信者のセルIDやIMEI/IMSI情報がSIPメッセージ経由で漏洩、都市部では100m単位で位置特定可能。 O2は問題報告への対応やエスカレーションルートが不十分。 ユーザー側での防止策は存在せず、運用側の抜本的な対策が必要。

O2 VoLTE/IMSにおける深刻な位置情報漏洩問題

VoLTEとIMSの概要

  • VoLTE(Voice over LTE) は、モバイルネットワーク上でインターネットベースのプロトコル(IMS)を用いて通話を実現する技術仕様。
  • IMS(IP Multimedia Subsystem) は、音声・データサービスを統合管理するための標準基盤。
  • IMSの実装は 複雑性 が高く、構成や運用によって 端末依存性やセキュリティリスク が増大することを確認。
  • モバイルネットワーク運営者には、 サーバーの最新化・セキュリティ確保・不要なデータ露出防止 の責任があることを強調。

O2 UKのIMS実装における問題点

  • O2 UKは2017年3月に 4G Calling(VoLTE) サービスを開始(参考: Engadget)。
  • 通話時の SIPシグナリングメッセージ に、発信者・受信者双方の IMSI、IMEI、Cell ID 等の詳細な情報が含まれていることを確認。
    • 例:
      • P-Mav-Extension-IMSI: 発信者・受信者のIMSI
      • P-Mav-Extension-IMEI: 発信者・受信者のIMEI
      • Cellular-Network-Info: 受信者のCell ID・LAC(Location Area Code)・PLMN(Public Land Mobile Network)等
  • これらの情報は 発信者の端末に平文で到達 し、特別な操作や改造をしなくても取得可能であることを確認。

位置情報特定の具体的手法

  • Cellular-Network-Info ヘッダーから受信者の PLMN、LAC、Cell ID を抽出することが可能。
  • 公開データベース(例:cellmapper.net)と照合することで、 受信者の大まかな位置(都市部では100m単位) を特定できることを検証。
    • 都市部のスモールセル利用時は、極めて高精度な位置特定が可能。
  • ローミング中のO2ユーザー にも同様の攻撃が通用し、海外でも位置特定が可能であることを実証。

プライバシー・セキュリティ上の重大な懸念

  • 発信者が受信者の位置・端末識別子を容易に取得 できるため、ストーキングや悪用のリスクが顕在化。
  • 4G CallingやWiFi Callingを無効化しても、SIPヘッダーの情報漏洩は防げないことを確認。
  • 端末が圏外・未接続時でも、 最後に接続したセル情報と経過時間 が漏洩する仕様であることを指摘。

O2への要望と他社比較

  • O2は IMS/SIPメッセージから該当ヘッダーを削除 し、デバッグ用ヘッダーも原則無効化することを強く提案。
  • EE(競合他社) は責任ある情報開示(Responsible Disclosure)ルートを用意しているが、O2には明確なエスカレーション経路が存在しないことを問題視。
  • 顧客自身での防御策は存在しない ため、運用側での抜本的な対策が不可欠であることを強調。

結論と今後のアクション

  • O2利用者は、基本的なモバイルネットワーク知識を持つ攻撃者により容易に位置特定される危険性 があることを認識。
  • O2への報告(2025年3月26日・27日) を行ったが、現時点で回答や対応は見られないことを記録。
  • 透明性・責任ある対応体制の整備 と、 技術的な抜本対策 の実施をO2に強く求めることを提案。

参考文献

Hackerたちの意見

2025年3月26日と27日にO2にメール(Lutz Schüler CEOとsecurityincidents@virginmedia.co.ukの両方)を送って、この行動とプライバシーリスクについて報告したけど、まだ返事もないし、行動に変化も見られない。ほんとにひどいよね。それに、なんでVirgin Mediaのアドレスがここで一番近いの? https://www.o2.co.uk/.well-known/security.txtは404じゃなくて200じゃなきゃダメでしょ。はっきり言って、こういう状況での情報開示には問題ないけど、NCSCが何かしらの状況でこれを取り上げるかもしれないって考えると、コミュニケーションがうまくいくかも気になる。

これは実際に私たちのミスだね。連絡したメールアドレスは実際には@virginmediao2.co.ukで、@virginmedia.co.ukじゃなかったんだ。記事の中のタイプミスだよ。修正して更新するね。

プライバシーポリシーにはいくつかのメールアドレスが載ってるよ(GDPRの要件ね)。誰かがそこで聞いてるかも。例えば、DPO@o2.com https://www.o2.co.uk/termsandconditions/privacy-policy

O2は以前は責任ある開示用のアドレスがあったんだけど、数年前に削除しちゃったんだよね。私がそこで働いてた頃(かなり前だけど)、セキュリティチームは素晴らしかった。去年、問題についてメールしたときには、もうみんな辞めちゃってた。

[フラグ付け済み]

実際、O2の関連チームには通知されていたことは分かっているけど、明らかに何のアクションも(または不十分なアクションしか)取られなかったみたいだね。

これは深刻な問題のようだね。電話をルート化してNSGをインストールしてこの情報を見るのはそんなに難しくないし。O2はイギリスで一番大きなモバイルネットワークで、政府とも契約があるのに…返事がないのは残念だけど、驚きはしない。O2は内部がごちゃごちゃしてるみたいだし、店舗で解決できない問題は直すのに時間がかかる(例えば、番号ポートの問題とか)。システムも古くて、ユーザーの一部はまだVoLTEが使えないし、新しい5G SAは音声をサポートしてないし、n28に過度に依存してるから多くの人にとって遅くなってる。CTOは「虚栄の指標を捨てる」ってブログに書いてるけど、データの面ではいつも最悪のネットワークだからね。

EUローミングに料金を取らない理由は、システムがないからなんじゃないかって思い始めてる。

この問題の本当に興味深い部分は、ほとんどの法域ではこれがハッキングとして認識されない可能性が高いってことだね。データはネットワークによって自発的に、通常の使用中に送信されるから。個人データを明らかにするようなシステムがどこかで騙されることはないし、それがしばしば違法だから、たとえハッキングが些細でも。たとえば、URLに「&reveal_private_data=true」を追加するのも違法と見なされるかもしれない、なぜならアクセスしてはいけないデータにアクセスしようとする明確な意図があるから。この場合、そういうことは一切行われていない。

この問題の本当に興味深いところは、ほとんどの法域では、これがハッキングとして認定されない可能性が高いってことだよね。コンピュータ不正使用法がどれだけ広範囲なのか、君はよく知らないみたいだね。

ただし、これはデータ漏洩に該当するから、彼らはすぐに規制当局に報告する必要があるし、罰金を受ける可能性もあるよ(イギリスにそういうルールがあるならね)。

VoLTEをオフにすることでこれを軽減できるかな?iPhone 11でオフにする方法はオンラインで見つけたけど、私のiPhone 15にはそのオプションがないんだよね!

4G通話を無効にしても、これらのヘッダーが明らかになるのを防げないし、デバイスが一時的に接続できない場合でも、内部ヘッダーは最後に接続していたセルとその時間を示すことになるから、あまり意味がないみたいだね。

O2 UKのイライラするところは、従来のプリペイドユーザーにはVoLTEをサポートしてないことだね、月額契約の人だけ。今はそれにちょっと感謝してるけど。

それに、通話を開始した人が通話制御メッセージ(つまりSIP)をどうやって見ることができたのかもすごく気になる。これらのメッセージはすべて、ハンドセットとセルタワー(およびMME)の間の暗号化されたGREトンネル内にラップされてるんじゃないの?GREトンネルの暗号化を解くことができるのは大きな穴だよね。もしかしたら、OPが自分のデバイスで分析を行っているからうまくいってるのかもしれないけど、それにしても事前暗号化ペイロードが利用可能なのには驚きだよ。

君が言いたいのはGTPトンネルのことだと思うよ。GTPトンネルはeNodeBとコアネットワークの間にあって、IPSEC内で動作している場合にのみセキュリティが確保されるんだ。

彼らはルート化されたAndroidフォンとNetwork Signal Guruっていうアプリを使ってるよ: https://play.google.com/store/apps/details?id=com.qtrun.Quic... 少なくともアプリの無料版は「復号化」するわけじゃないけど、ルートアクセスとモデムへのアクセスがあるから、これらのログを読むことができるんだ。バンドを無効にしたり、特定の基地局にロックをかけたりもできるから、モバイルデータをメインのインターネット接続として使いたいときには便利だよ。

こんにちは、記事の編集者です。多くのQualcommチップを搭載したAndroidデバイスは、USB経由でモデム診断ポートを公開するオプションを提供しているので、ルート化されたデバイスは必要ないんだ。ノートパソコンを持ち歩くよりも、NSGをデバイス上でルート化して使う方がずっと簡単だよ。モデム診断ポートを有効にしてScat (https://github.com/fgsect/scat)を使うだけで、ネットワークとの全ての信号トラフィックを見ることができるんだ。

多くのオペレーターはVoLTEのSIP信号をP-CSCFで終端するIPsecトランスポートを設定しているけど、ほとんど(もし全てでなければ)それを整合性保護を提供するためだけに設定しているんだ。

^^編集: GTP。

O2がまだビジネスを続けてる理由がわからないよ - 彼らは圧倒的に最悪のネットワークだし、三のひどいバックホール状況よりもマシだよ。O2のSIMをEEのと一緒に持ってる理由は、優先チケットや彼らの会場内での信号のためだけなんだ。

彼らの5Gスタンドアロンネットワークにアクセスできれば、かなり良くなったよ。でも、新しいSIMカードと互換性のある電話が必要なんだ。全然違うよ…

面白いのは、これは理論上のバグじゃないってこと。実装の怠慢で、他のUKネットワークはすでに解決してるって投稿にも書いてある。ECIの漏洩はLTEが展開されて以来指摘されてるし、オープンなマストDBがあれば自動位置マッピングは簡単だよ。

おそらくパニックになってて、これを使ってるセキュリティサービスから指示を待ってるんじゃないかな。

そういえば、giffgaffはO2ネットワークを使ってるけど、O2の物理ネットワークの上に自分たちのサービスを実装してるから影響を受けてないって主張してるんだよね。確かにそうかもしれないけど、同じ会社に今は所有されてるって知ってるから、ちょっと疑わしいな。もし誰かがgiffgaffのSIMでこれを再現しようとしたら、結果を知りたいな…

彼らはしばらくの間、テレフォニカに所有されてるよ。確か、テレフォニカが2006年にO2を買収して、2009年にgiffgaffを新しいブランドとして立ち上げたんだよね。

giffgaffネットワークでこれをテストしたけど、影響があることが分かったよ。なんで彼らが違う結論に至ったのかはよく分からないな。

O2は問題が解決したって主張してるよ: https://www.ispreview.co.uk/index.php/2025/05/o2-uk-fixes-vo...

今朝、投稿が更新されたんだけど、O2がメールでこの問題が解決したって確認してきたんだ。自分でもこの情報を確認したし、脆弱性が解決されたようだって言えるよ。

彼らの声明には「私たちのエンジニアリングチームは数週間にわたって修正作業とテストを行ってきました」って書いてある。もしデータがそんなに敏感で、誰にも知らせずにあんなに長い間データベースが無防備だったら、想像できる?ICOがこれにどう対処するのか、興味深いね。