Mais conteúdo relacionado
Semelhante a 相互接続におけるセキュリティ (20)
Mais de とうほぐモバイルミーティング (8)
相互接続におけるセキュリティ
- 1. Copyright © 2004-2017 Macnica Networks Corp. All Rights Reserved.Copyright © 2004-2017 Macnica Networks Corp. All Rights Reserved.
相互接続におけるセキュリティ
21st Apr. 2018 @とうほぐモバイルミーティング#2
Yoshiyuki Kurauchi
Macnica Networks Corp.
1
- 2. Copyright © 2004-2017 Macnica Networks Corp. All Rights Reserved.
Table of Contents
2
自己紹介
テレコムセキュリティとは
相互接続の怖いお話
相互接続における攻撃例
ご注意
本発表に含まれる情報は、機密保持の観点から、
インターネットで収集可能なもののみに限定して
おります。発表者が特定のオペレータにおいて実
際に見聞きした事例ではありません。
- 3. Copyright © 2004-2017 Macnica Networks Corp. All Rights Reserved.
自己紹介
3
プロフィール
名前:くらうちよしゆき
所属:マクニカネットワークス
出生:1989年@大阪
言語:日本語、英語、Go、Python、ときどきSwift
エディタ:VSCode
活動
テレコム関連セキュリティ製品/サービスを提供
主にMNO様向け。基地局~コア~IMS~国際線 etc.
海外の専門家たちと協業する形
テレコム関連ツールの開発
プロトコルスタック
スキャン・攻撃ツール
Find me on...
Twitter / GitHub / LinkedIn
- 4. Copyright © 2004-2017 Macnica Networks Corp. All Rights Reserved.
自己紹介
4
プロフィール
名前:くらうちよしゆき
所属:マクニカネットワークス
出生:1989年@大阪
言語:日本語、英語、Go、Python、ときどきSwift
エディタ:VSCode
活動
テレコム関連セキュリティ製品/サービスを提供
主にMNO様向け。基地局~コア~IMS~国際線 etc.
海外の専門家たちと協業する形
テレコム関連ツールの開発
プロトコルスタック
スキャン・攻撃ツール
Find me on...
Twitter / GitHub / LinkedIn
本日こちらのお話はしませんが、いくつかは
OSSとしての公開に向けて準備中。
Follow me on GitHub :)
- 5. Copyright © 2004-2017 Macnica Networks Corp. All Rights Reserved.
テレコムセキュリティ?
5
German researchers discover a flaw that could let anyone listen to
your cell calls.
2014 by The Washington Post
SS7 hack explained: what can you do about it?
2016 by The Guardian
Real-World SS7 Attack — Hackers Are Stealing Money From Bank
Accounts
2017 by The Hacker News
EU機関、5G導入をめぐりセキュリティに注意喚起
2018 by 日経 xTech(COMPUTERWORLD)
- 6. Copyright © 2004-2017 Macnica Networks Corp. All Rights Reserved.
テレコムセキュリティ!
6
センセーショナルに取り上げられたSS7の脆弱性を皮切りに、オペレータの相互
接続におけるセキュリティへの関心が高まりつつある。
2009年頃~、セキュリティカンファレンスでの発表が盛んに
CCC関連イベントだけでもたくさんの発表が見られる
~2014年、主にSS7のセキュリティに関する研究が流行
SCCP hacking, attacking the SS7 &... by Philippe Langlois and Vanessa Brunet (2009)
Mobile self-defense by Karsten Nohl (2014)
SS7map : mapping vulnerability of... by Laurent Ghigonis and Alexandre De Oliveira (2014)
SS7: Locate. Track. Manipulate. by Tobias Engel (2014)
2015年~、SS7以外の相互接続におけるセキュリティも盛り上がり始めている
GTP: Advanced interconnect attacks by Karsten Nohl and Luca Melette (2015)
Diameter: Mobile Data Interception from... by Dr. Silke Holtmanns (2017)
- 7. Copyright © 2004-2017 Macnica Networks Corp. All Rights Reserved.
テレコムセキュリティ!
7
センセーショナルに取り上げられたSS7の脆弱性を皮切りに、オペレータの相互
接続におけるセキュリティへの関心が高まりつつある。
2009年頃~、セキュリティカンファレンスでの発表が盛んに
CCC関連イベントだけでもたくさんの発表が見られる
参考:これらの流れとは別に、SIM/端末側でのセキュリティ研究活動も活発
GSM: SRSLY? by Chris Paget and Karsten Nohl (2009)
Wideband GSM Sniffing by Karsten Nohl and Sylvain Munaut (2010)
Defending mobile phones by Karsten Nohl and Luca Melette (2011)
Mobile network attack evolution by Karsten Nohl and Luca Melette (2013)
(最近もLTE Inspector [PDF]で盛り上がりましたね)
- 8. Copyright © 2004-2017 Macnica Networks Corp. All Rights Reserved.
テレコムセキュリティ!
8
センセーショナルに取り上げられたSS7の脆弱性を皮切りに、オペレータの相互
接続におけるセキュリティへの関心が高まりつつある。
業界団体の活動も盛んに
GSMA Fraud and Security GroupによるSecurity Guidelineのリリース
FS.11: SS7/SIGTRAN(初版: 2015.9)
FS.19: Diameter(初版: 2015.12)
FS.20: GTP(初版: 2017.2)
FS.22: VoLTE(初版: 2017.9)
3GPPによる推奨も
33 Series(33.XXX系はセキュリティに特化している)
Security Assurance Methodology (SECAM) for 3GPP Nodes
Security Assurance Specification (SCAS) for XXX
Security Standards White Paper etc.
- 9. Copyright © 2004-2017 Macnica Networks Corp. All Rights Reserved.
相互接続の怖いお話
9
相互接続 is あぶない!
✓ 認証情報
✓ 暗号化キー
✓ 加入者識別子 etc.
✓ 認証情報
✓ 暗号化キー
✓ 加入者識別子
✓ 位置情報
✓ 通話時間
✓ データ通信速度/量 etc.
Internet
HSS
P-GW
PCRF
S-GW
MME認証とか
位置とか
データ
通信量とか
通信速度とか
セッションとか
UE~RAN コアNW
他の事業者へ
・国内
・海外
・MVNO
SS7/SIGTRAN(MAP/ISUP)
Diameter
GTP
SIP
- 10. Copyright © 2004-2017 Macnica Networks Corp. All Rights Reserved.
相互接続の怖いお話
10
なぜ危ないのか?
信頼を前提にした(セキュリティを考慮していない)レガシープロトコルが現存
オペレータによって、セキュリティへの関心度に差がある
どんなリスクがあるのか?
相互接続 is あぶない!
分類 具体例
情報漏えい MSISDNからIMSIを引く、Cell ID等位置情報を取得、Keyを盗む
DoS 強制デタッチ、ベアラの削除
改ざん サービスのデグレード、不正享受
盗聴 通話やパケット通信の傍受
なりすまし 他人のプロファイルで電話やパケット通信
- 11. Copyright © 2004-2017 Macnica Networks Corp. All Rights Reserved.
相互接続の怖いお話
11
相互接続 is あぶない!
誰がどこから攻撃するのか?
他のオペレータの正規(と思しき)ノード経由が最多
Closedとはいえ、他オペレータがハッキングされない保証はない
どこかの国では、闇サービス横行のうわさも・・・
関心が高まっているのに、まだ危ないのか?
あからさまな攻撃には対策されてきた(ところが多い)
ただし、そもそも防ぎようのない恐ろしい攻撃が存在する・・・
- 12. Copyright © 2004-2017 Macnica Networks Corp. All Rights Reserved.
相互接続の怖いお話
12
相互接続 is あぶない!
誰がどこから攻撃するのか?
他のオペレータの正規(と思しき)ノード経由が最多
Closedとはいえ、他オペレータがハッキングされない保証はない
どこかの国では、闇サービス横行のうわさも・・・
関心が高まっているのに、まだ危ないのか?
あからさまな攻撃には対策されてきた(ところが多い)
ただし、そもそも防ぎようのない恐ろしい攻撃が存在する・・・
- 13. Copyright © 2004-2017 Macnica Networks Corp. All Rights Reserved.
相互接続における攻撃の例
13
相互接続=Attack Vector
コアNW
国際共通線
(SS7/S6a/d)
国際パケット接続(Gp/S8)
国際音声接続(SIP)
相互接続I/Fの種類
SS7: ローミング時の信号のやり取りに利用。位置登録等。MAP/ISUP。
S6a/d: SS7のLTE以降バージョン。Diameter。
Gp: ローミング時のパケット転送およびベアラ制御のやり取りに利用。GTPv1。
S8: GnのLTE以降バージョン。GTPv2。
Ici/Izi: ローミング時の音声転送および呼制御のやり取りに利用。SIP。
- 14. Copyright © 2004-2017 Macnica Networks Corp. All Rights Reserved.
相互接続における攻撃の例
14
国際共通線経由
国際共通線
(SS7/S6a/d)
国際パケット接続(Gp/S8)
国際音声接続(SIP)
MSC
STP
HSS HLR
例えば・・・
MAP anyTimeInterrogation, cancelLocation
Diameter User-Data-Request, Notify-Request
参考:SS7: Locate. Track. Manipulate.
DEAMME
- 15. Copyright © 2004-2017 Macnica Networks Corp. All Rights Reserved.
相互接続における攻撃の例
15
国際パケット接続経由
国際共通線
(SS7/S6a/d)
国際パケット接続(Gp/S8)
国際音声接続(SIP)
例えば・・・
GTPv1 Create/Update/Delete PDP Context Request
GTPv2 Update Bearer Request
GTPv1/v2 Identificaiton Request
GGSN
P-GW
S-GW
SGSN
- 16. Copyright © 2004-2017 Macnica Networks Corp. All Rights Reserved.
相互接続における攻撃の例
16
国際音声接続経由
国際共通線
(SS7/S6a/d)
国際パケット接続(Gp/S8)
国際音声接続(ISUP, SIP)
HSS AS
X-CSCF
例えば・・・
SIP XXX
Webに公開情報がなかったのでゴメンナサイ<(_ _)>
SBC
- 17. Copyright © 2004-2017 Macnica Networks Corp. All Rights Reserved.
相互接続における攻撃の例
17
国際音声接続経由
国際共通線
(SS7/S6a/d)
国際パケット接続(Gp/S8)
国際音声接続(ISUP, SIP)
余談
VoLTEはUEからのSIP信号がIMSに直通 = あぶない!
参考: Subscribers remote geolocation and tracking using 4G VoLTE
enabled Android phone
VoLTE
HSS AS
X-CSCF SBC
- 18. Copyright © 2004-2017 Macnica Networks Corp. All Rights Reserved.
まとめ
18
オペレータ相互接続は危ない
他のオペレータを信用するなかれ。
規格通りの実装だけでは攻撃を満足に防ぐことができない。
信号の種類や振る舞いの多様さ≒攻撃の多様さ
各信号の用途が限定されているということは、それ以外の使い方全てに(潜在的な)
リスクがあるということ。
セキュリティの観点でも実装の再確認を!
参考:加入者個人ができることはあるか?
ほとんどない。ECサイトが個人情報流出させることを防げないのと同様。
セキュアかどうか確認するアプリはあるので、確かめてみては?→ SnoopSnitch
- 19. Copyright © 2004-2017 Macnica Networks Corp. All Rights Reserved.Copyright © 2004-2017 Macnica Networks Corp. All Rights Reserved.
Thank you :)
19