IPA(情報処理推進機構)セキュリティセンターおよびJPCERTコーディネーションセンター(JPCERT/CC)は19日、Voice over LTE(VoLTE)に複数の脆弱性が存在することを、脆弱性対策情報ポータルサイト「JVN」において発表した。
LTE回線は、回線交換方式ではなくパケット交換方式で通信を行うため、従来は不可能だった攻撃が可能になる。そのため、LTE通信網とモバイルアプリケーションの実装によっては、「重要な情報への不適切なアクセス権の割り当て(CW-732)」「不適切なアクセス制御(CWE-284)」「認証不備(CWE-287)」「セッションの固定化(CWE-384)」といった問題が発生し、プライバシー侵害、不正請求、なりすましに繋がるという。
これらの脆弱性を悪用されると、他の端末からデータを取得したり、電話番号を詐称したりされる可能性がある。また悪意あるアプリケーションは、端末ユーザーに気付かれることなく通話を実行できるとのこと。現在、これらの問題に対する具体的な解決策は不明だ。
これらの脆弱性は、セキュリティ研究者が調査を行った結果、発見された。先週コロラド州デンバーで開催された「ACM CCS 2015」にて、Hongil Kim氏らが発表を行っており、JVNは「JVNVU#93463833」を割り当てている。
