*本リリースは、2015 年 2 月 25 日（現地時間）にオランダ、アムステルダムで発表した英文リリースに基づいて作成した抄訳版です。 2015 年 2 月 26 日ジェムアルト株式会社ジェムアルト、英政府通信本部（GCHQ）および米国家安全保障局（NSA）による SIMカード暗号化キーハッキング疑惑に対する調査結果を発表  報道された資料に記載されている不正侵入方法およびジェムアルトが 2010 年と 2011 年に検出した高度なサイバー攻撃に対する調査から、NSA と GCHQ による活動があったであろうと信じるに足る結果であった。  ジェムアルトに対するサイバー攻撃は、SIM 暗号化キーの大量盗難にまで至らず、同社オフィスネットワークに侵入できたのみであった。  侵入を試みた行為は、世界規模で移動体通信事業者と各社のサプライヤーとの間でやり取りされる暗号化キーへのハッキングをねらいとしたもの。ジェムアルトは、すでに 2010 年の時点で顧客との間にセキュアなデータ伝送システムを実装－ごくわずかな例外となった顧客が盗難につながった恐れがある。  最終的に盗まれたキーについても、NSA と GCHQ が通信を傍受できるのは第 2 世代（2G）モバイルネットワークのみで、3G ネットワークと 4G ネットワークはこのタイプの攻撃に対する脆弱性はない。  このサイバー攻撃による他のジェムアルト製品への影響はない。  このようなタイプの攻撃に対する最良の防御対策は、データの格納時と伝送時における系統だった暗号化の仕組みを採用することや、最新の SIM カードを使用すること、各通信事業者用にカスタマイズしたアルゴリズムを確立することである。デジタルセキュリティの世界的なリーダーであるジェムアルト（ユーロネクスト NL0000400653 GTO）は、2 月 19 日付でニュースサイトに公開されたレポートを受け、特に次の 2 点に焦点を絞った徹底的な調査を行い、その結果を発表しました。1 点目は同 Web サイトで公開された米国家安全保障局（NSA）と英政府通信本部（GCHQ）と称する資料について、もう 1 点はジェムアルト社内の監視ツールと不正侵入の試みに関する過去の記録です。同レポートにあるすべてのコメントは、公開された資料が本物であり、2010年および2011年に発生した事案を正確に伝えているということを前提にしています。以下の当社の発表は、同Webサイトで公開されている資料の内容について全部はもとより一部といえども認めるものではなく、またこれらの全てもしくは一部を否定する情報を提供することを意図したものでもありません。デジタルセキュリティを提供している企業の常として、ジェムアルトは常にハッキングの対象とされています。これらの不正侵入の試みは大なり小なり洗練されたものではありますが、ジェムアルトはこのような不正侵入行為には慣れており、熟練した経験を持っています。これらの試みの大部分は成功に至ることがなく、ジェムアルトの高度なセキュリティネットワークアーキテクチャの外層のレベルに侵入できるものですら、わずかな数に限られます。 NSAおよびGCHQの資料に記載されている期間においても、数多くの攻撃があったことは間違いありません。特に 2010年と2011年には一際高度な2件の不正侵入を検出しましたが、これらの事案が今回の件に関連している可能性が全くないとはいえません。 2010 年 6 月、フランス国内の当社の 1 事業所において、第三者によるオフィスネットワークを監視しようとする疑わしい活動が認められました。ここで言うオフィスネットワークとは、当社の従業員が従業員同士および社外とのコミュニケーションに使用しているネットワークを指します。この脅威に対して、当社はただちに対策を講じました。もう 1 件の出来事は 2010 年 7 月のことで、当社のセキュリティチームが検出しました。この事案では、当社の顧客の 1 社である通信事業者に、ジェムアルトの正規な電子メールアドレスになりすまし、悪質なコードをダウンロードするファイルが添付された偽の電子メールが送信されました。当社は当該顧客へただちに通知すると共に、関係規制当局にこの事案ならびに使用されたマルウェアの種類を報告しました。これと同時期、顧客と定期的にコンタクトしている当社従業員のパソコンへの不正アクセスの試みも複数検出されています。これらの事案の検出時点において当社は犯人を特定することができませんでしたが、今はこれらの事案がNSAと GCHQの活動に関係しているかも知れないと考えています。これらの不正侵入の試みは、当社ネットワーク（オフィスネットワーク）で社外との接点となっている外層部分に影響を与えたのみです。これらのネットワーク上に、SIM暗号化キーおよび他の顧客データ全般は置かれていません。当社のネットワークアーキテクチャは、データのクラスタ化と分離を実現できるように複数の層とセグメントで構成されています。例えるのなら、タマネギとオレンジを掛け合わせたような形でデザインされています。前述した不正侵入は重大かつ高度な攻撃でしたが、当社ネットワークの他の部分では一切検出されていません。また当社のSIMアクティビティを実行しているインフラおよび銀行カードやIDカード、電子パスポートなど他の製品を管理しているセキュアネットワークのどの部分においても、不正なアクセスは検出されていません。これらのネットワークはそれぞれが分離されており、また外部ネットワークには接続されていません。膨大な数のSIMカードにリモートから個別に攻撃することは非常に困難であり、この事実と当社ネットワークの複雑なアーキテクチャを考え合わせると、今回公開された資料にあるように、なぜNSAとGCHQの両情報機関が、サプライヤーと移動体通信事業者の間でやり取りされているデータを狙ったのかという説明がつきます。当社と顧客の間で共有しているデータに対する不正アクセスのリスクは、当社が2010年よりはるかに前から実施している高度でセキュアなデータ交換プロセスの一般化によって大幅に軽減されています。同レポートによると、攻撃のターゲットとなったのはアフガニスタン、イエメン、インド、セルビア、イラン、アイスランド、ソマリア、パキスタン、タジキスタンの移動体通信事業者でした。さらに同レポートには、通信事業者がセキュアなデータ交換手法を適用したところ、犯人が使用したデータの傍受手法は用を成さなかったと記述されています。特に、「パキスタンのネットワークに対する試みは何ら成果を生み出さなかった」とのことですが、当時、当社とパキスタンの通信事業者各社との間におけるデータの伝送では、高度でセキュアな交換プロセスが使われていました。ただし、2010年においてこれらのデータ伝送手法は全世界で使われていたわけではなく、一部の通信事業者とサプライヤーは、これらの手法を使用しない環境を選択していました。このセキュアな伝送システムは当社のスタンダードで、この手法を使用しないという選択は例外的な状況に限られています。公開された資料を分析すると、NSAとGCHQは当社以外にも数多くの組織をターゲットにしていたことが分かります。市場リーダーであるジェムアルトは、両情報機関にとって最も数多くの携帯電話へアクセスする上で格好のターゲットだったのかも知れません。ただし、同資料にはジェムアルトの事実にそぐわない情報も多く記載されており、そのいくつかを下記に示します。  ジェムアルトは、資料に列挙されている 12 社の通信事業者のうち 4 社に SIM カードを販売したことがありません。特に 300,000 のキーが盗まれたとされるソマリアの通信事業者がその一例です。  当社のパーソナライゼーションセンターの所在地の一覧とされているリストに日本、コロンビア、イタリアの SIM カードパーソナライゼーションセンターが記載されていますが、当時これらの地域でパーソナライゼーションセンターは稼動していません。  表 2 によると、暗号化キーのやり取りの 2%のみ（38/1719）が SIM サプライヤーに由来するもので、 SIM サプライヤーによる強力な暗号化手法の使用は、残りの 98%のグループがこのようなタイプの攻撃に対してより脆弱であることを意味すると記載されています。 2010年から2011年の期間において、ターゲットとされた各国のほとんどの通信事業者はまだ2G（第2世代）ネットワークを使用していました。この2Gテクノロジーのセキュリティレベルが最初に開発されたのは1980年代で、2010年の時点ではすでに脆弱で時代遅れであると認識されていました。もし両情報機関がこれらの2G SIMカード暗号化キーを狙ったとすれば、これらのSIMカードが携帯電話で使用された場合に通信を傍受することは技術的に可能です。これは旧式の2Gテクノロジーについて既知の脆弱性で、ジェムアルトは通信事業者各社に追加のセキュリティメカニズムを実装することを推奨してきました。ただし、たとえ両情報機関による暗号化キーのハッキングがあったとしても、その使用には限界があります。なぜなら、当時記載されている各国におけるほとんどの2G SIMはプリペイドカードで、サイクルが非常に短いからです（通常は3～6カ月）。元々の 2G 規格について既知の脆弱性は、独自開発のアルゴリズムの登場によってなくなりました。これらのアルゴリズムは現在もセキュリティを強化する追加レベルとして大手ネットワーク事業者に使われています。このセキュリティレベルは、暗号化が強化されている 3G テクノロジーと 4G テクノロジーの登場によってさらに高められています。誰かが 3G SIM または 4G SIM で使われている暗号化キーをハッキングしたとしても、ネットワークに接続することはできず、結果として通信を傍受することもできません。したがって、今回報道された攻撃による3Gカードと4Gカードへの影響はありません。ただし、これらの新しい製品は 2Gとのバックワードの互換性を有していますが、価格が若干高く、時として通信事業者は価格のみで購入の決定を下すこともあるため、世界中どこでも使われているわけではありません。デジタルセキュリティは変化のない静的なものではりません。今日最先端のテクノロジーも、時間の経過と共に新たなリサーチや処理能力の向上によって革新的な攻撃が可能になることで、その効果が失われてしまいます。どのように評価の高いセキュリティ製品であっても、すべてのセキュリティ製品は定期的に見直しとアップグレードを行わなければなりません。SIMカードも例外ではなく、これまでに絶え間なく進化・発展を遂げてきています。特に、3Gネットワークおよび4Gネットワーク向けにSIMカードのテクノロジーは大幅に改良が重ねられています。当社と取引関係にある移動体通信事業者の場合、カスタムアルゴリズムを SIM カードへ組み込むために、セキュリティはさらに高い強度を備えています。当社の顧客企業が採用しているアルゴリズムに従ったテクノロジーは多様で断片化されているため、グローバル規模で監視システムを展開するには複雑で、また費用もかさんでしまいます。これが、通信事業者によるセキュリティメカニズムのカスタマイズを制限してしまう代替テクノロジーに当社が異を唱える理由の 1 つです。このようなテクノロジーによって、不幸にしてセキュリティが破られたり防御に失敗したりした場合でも、大規模な監視の組織化が大幅に簡約化されます。ジェムアルトは、消費者向けアプリケーションに最高レベルのセキュリティを提供することに、重ねて取り組んでいきたいと考えています。当社のセキュリティ製品、インフラ、プロセスは、グローバル規模でオープンな商業環境へ最高レベルのセキュリティを確実に提供できるように考えられています。これらはすべて外部の第三者（民間・公的機関）によって監査、認定を受けています。その反面で、当社は枢要な国家機関、特にこれらの機関が連携した場合に、一般的なハッカーや犯罪組織が遠く及ばないレベルの人的・物的資源と法的支援を活用できることを認識していると共に、これらの公的機関に疑いの目を向けることのない民間企業に対するこのような無分別な行動に関与する恐れについて、懸念を感じています。これらの事案に関して当社が最も重視しているのは、お客様です。この数日間、多くのお客様から寄せられたご支援には、従業員一同感謝しています。今回の一連の出来事によって、お客様および業界とこれまで以上に緊密に連携し、エンドユーザーのニーズに応えるさらに洗練されたソリューションを構築する必要性をあらためて実感している次第です。今日の世界では、すべての企業・組織がサイバー攻撃の標的になり得ます。このため、セキュリティのベストプラクティスを実践し、最新のテクノロジーを実装することがこれまで以上に大切になってきています。これには、たとえネットワークへの不正アクセスがあった場合でも、盗まれた情報へ第三者が一切アクセスできないようにするための、高度なデータ暗号化も含まれています。ジェムアルトは、これからも自社のネットワークを監視し、継続してプロセスを向上させていく所存です。今回の事案について、何らかの大きな進展がない限り、当社がこれ以上の情報発信を行う予定はありませんので、あらかじめご了承ください。ジェムアルトについてジェムアルト（ユーロネクスト NL0000400653 GTO）は世界44ヶ国に85の事業所、25の研究およびソフトウェア開発センターを持ち、1万2千人以上の従業員を有するデジタルセキュリティのリーディングカンパニーです。2013年の年間売上高は24億ユーロ（約3,360億円）を記録しました。ジェムアルトは急速に進化しつつあるデジタル社会の中核的な存在です。世界中の数十億人の人々は自由に「いつでも、どこでも」コミュニケーション、旅行、ショッピング、金融取引、娯楽、仕事を楽しく、安全に行ないたいと望んでいます。ジェムアルトはパーソナル･モバイル・サービス、決済のセキュリティ、信頼できるクラウドアクセス、個人認証および個人情報の保護、電子ヘルスケアおよび電子政府の効率化、便利なチケットサービス、および信頼性の高いマシンツーマシン（M2M）アプリケーションの高まるニーズに対して様々なソリューションを提供しています。ジェムアルトは、セキュアな組込み用ソフトウェアや自社で設計しカスタマイズした信頼性の高い製品を開発しています。独自のプラットフォームおよびサービスにより、これらの製品や製品に含まれる機密データを管理し、信頼のおけるエンドユーザー向けサービスの提供を実現しています。ジェムアルトのイノベーションによりお客様が数十億人のエンドユーザーに対して信頼される利便性の高いデジタルサービスを提供しています。多くの人々がデジタルおよびワイヤレスによるコミュニケーションを図る中で、ジェムアルトのソリューションが利用される機会はますます多くなっており、今後のビジネスの発展が見込まれます。さらに詳しい情報はwww.gemalto.com/japan、www.justaskgemalto.com、blog.gemalto.comをご覧ください。