ICチップ／SIMカードなどで世界トップシェアを持つ、オランダ本拠のセキュリティーベンダーのジェムアルトは、以前から報道されてきたSIMカードの暗号化キー流出問題について、調査結果を発表した。

　主な内容は過去に攻撃はあったもののジェムアルトからの流出はなく、ターゲットとされた携帯事業者からの流出があったとしても、実際に傍受可能なのは2G規格の中でも旧式のSIMの利用時のみで、3G／4GのSIMへの影響はないというものだ。

　今回の発端となったのは、米メディア「The Intercept」が報告したレポートで（関連リンク）、アメリカとイギリスの情報機関がジェムアルトのシステムに攻撃を加え、SIMカードの暗号化キーを取得したというものだ。ジェムアルトは日本を含む、ほぼ全世界の主要携帯事業者と取引があり、暗号化されているはずの携帯電話の通信が丸ごと盗聴されているのではないかと注目を集めることになった。

　調査結果の中でジェムアルトは、2010年と2011年に高度なサイバー攻撃を検出、すぐに対策を講じるとともに、暗号化キーなどを管理している分離されたネットワークへは不正なアクセスはなかったとする。

　この事案については犯人は特定できてはいないものの、名前が出された米NSA（アメリカ国家安全保障局）、英GCHQ（政府通信本部）の活動と「関係しているかもしれないと考えています」と表現する。

　また今回の攻撃では、SIMカードのサプライヤーと携帯キャリアとの間でやり取りされる暗号化キーが狙われたが、ジェムアルトでは2010年の時点でセキュアなデータ交換のプロセスが大半の例で導入されており、そのリスクは軽減していたとする。

　また、レポート内でターゲットとされた国の携帯事業者のほとんどは当時2Gネットワークを利用しており、もし両機関が2G SIMカードの暗号化キーをその通信事業者から盗めた場合、通信を傍受することは技術的には可能だが、この脆弱性は2010年時点で既知であり、この問題に対するセキュリティーの強化を推奨してきたとした。

　さらに3G／4G向けのSIMカードについては、暗号化がさらに強化されており、暗号化キーを盗んだとしてもネットワークに接続はできず、今回報道された攻撃による3G／4G向けのSIMカードへの影響はないと結論づけている。