ジェムアルト、英政府通信本部(GCHQ)および米国家安全保障局(NSA

*本リリースは、2015 年 2 月 25 日(現地時間)にオランダ、アムステルダムで発表した英文リリースに基づいて作成
した抄訳版です。
2015 年 2 月 26 日
ジェムアルト株式会社
ジェムアルト、英政府通信本部(GCHQ)および米国家安全保障局(NSA)による
SIMカード暗号化キーハッキング疑惑に対する調査結果を発表

報道された資料に記載されている不正侵入方法およびジェムアルトが 2010 年と 2011 年に検出した
高度なサイバー攻撃に対する調査から、NSA と GCHQ による活動があったであろうと信じるに足る
結果であった。

ジェムアルトに対するサイバー攻撃は、SIM 暗号化キーの大量盗難にまで至らず、同社オフィスネット
ワークに侵入できたのみであった。

侵入を試みた行為は、世界規模で移動体通信事業者と各社のサプライヤーとの間でやり取りされる
暗号化キーへのハッキングをねらいとしたもの。ジェムアルトは、すでに 2010 年の時点で顧客との間
にセキュアなデータ伝送システムを実装 - ごくわずかな例外となった顧客が盗難につながった恐れ
がある。

最終的に盗まれたキーについても、NSA と GCHQ が通信を傍受できるのは第 2 世代(2G)モバイル
ネットワークのみで、3G ネットワークと 4G ネットワークはこのタイプの攻撃に対する脆弱性はない。

このサイバー攻撃による他のジェムアルト製品への影響はない。

このようなタイプの攻撃に対する最良の防御対策は、データの格納時と伝送時における系統だった暗
号化の仕組みを採用することや、最新の SIM カードを使用すること、各通信事業者用にカスタマイズ
したアルゴリズムを確立することである。
デジタルセキュリティの世界的なリーダーであるジェムアルト(ユーロネクスト NL0000400653 GTO)は、2 月 19
日付でニュースサイトに公開されたレポートを受け、特に次の 2 点に焦点を絞った徹底的な調査を行い、その結
果を発表しました。1 点目は同 Web サイトで公開された米国家安全保障局(NSA)と英政府通信本部(GCHQ)
と称する資料について、もう 1 点はジェムアルト社内の監視ツールと不正侵入の試みに関する過去の記録です。
同レポートにあるすべてのコメントは、公開された資料が本物であり、2010年および2011年に発生した事案を正確
に伝えているということを前提にしています。以下の当社の発表は、同Webサイトで公開されている資料の内容に
ついて全部はもとより一部といえども認めるものではなく、またこれらの全てもしくは一部を否定する情報を提供する
ことを意図したものでもありません。
デジタルセキュリティを提供している企業の常として、ジェムアルトは常にハッキングの対象とされています。これら
の不正侵入の試みは大なり小なり洗練されたものではありますが、ジェムアルトはこのような不正侵入行為には慣
れており、熟練した経験を持っています。これらの試みの大部分は成功に至ることがなく、ジェムアルトの高度なセ
キュリティネットワークアーキテクチャの外層のレベルに侵入できるものですら、わずかな数に限られます。
NSAおよびGCHQの資料に記載されている期間においても、数多くの攻撃があったことは間違いありません。特に
2010年と2011年には一際高度な2件の不正侵入を検出しましたが、これらの事案が今回の件に関連している可能
性が全くないとはいえません。
2010 年 6 月、フランス国内の当社の 1 事業所において、第三者によるオフィスネットワークを監視しようとする疑
わしい活動が認められました。ここで言うオフィスネットワークとは、当社の従業員が従業員同士および社外とのコ
ミュニケーションに使用しているネットワークを指します。この脅威に対して、当社はただちに対策を講じました。
もう 1 件の出来事は 2010 年 7 月のことで、当社のセキュリティチームが検出しました。この事案では、当社の顧
客の 1 社である通信事業者に、ジェムアルトの正規な電子メールアドレスになりすまし、悪質なコードをダウンロー
ドするファイルが添付された偽の電子メールが送信されました。当社は当該顧客へただちに通知すると共に、関係
規制当局にこの事案ならびに使用されたマルウェアの種類を報告しました。
これと同時期、顧客と定期的にコンタクトしている当社従業員のパソコンへの不正アクセスの試みも複数検出されて
います。
これらの事案の検出時点において当社は犯人を特定することができませんでしたが、今はこれらの事案がNSAと
GCHQの活動に関係しているかも知れないと考えています。これらの不正侵入の試みは、当社ネットワーク(オフィ
スネットワーク)で社外との接点となっている外層部分に影響を与えたのみです。これらのネットワーク上に、SIM暗
号化キーおよび他の顧客データ全般は置かれていません。当社のネットワークアーキテクチャは、データのクラスタ
化と分離を実現できるように複数の層とセグメントで構成されています。例えるのなら、タマネギとオレンジを掛け合
わせたような形でデザインされています。
前述した不正侵入は重大かつ高度な攻撃でしたが、当社ネットワークの他の部分では一切検出されていません。ま
た当社のSIMアクティビティを実行しているインフラおよび銀行カードやIDカード、電子パスポートなど他の製品を管
理しているセキュアネットワークのどの部分においても、不正なアクセスは検出されていません。これらのネットワー
クはそれぞれが分離されており、また外部ネットワークには接続されていません。
膨大な数のSIMカードにリモートから個別に攻撃することは非常に困難であり、この事実と当社ネットワークの複雑
なアーキテクチャを考え合わせると、今回公開された資料にあるように、なぜNSAとGCHQの両情報機関が、サプラ
イヤーと移動体通信事業者の間でやり取りされているデータを狙ったのかという説明がつきます。
当社と顧客の間で共有しているデータに対する不正アクセスのリスクは、当社が2010年よりはるかに前から実施し
ている高度でセキュアなデータ交換プロセスの一般化によって大幅に軽減されています。同レポートによると、攻撃
のターゲットとなったのはアフガニスタン、イエメン、インド、セルビア、イラン、アイスランド、ソマリア、パキスタン、タ
ジキスタンの移動体通信事業者でした。さらに同レポートには、通信事業者がセキュアなデータ交換手法を適用した
ところ、犯人が使用したデータの傍受手法は用を成さなかったと記述されています。特に、「パキスタンのネットワー
クに対する試みは何ら成果を生み出さなかった」とのことですが、当時、当社とパキスタンの通信事業者各社との間
におけるデータの伝送では、高度でセキュアな交換プロセスが使われていました。ただし、2010年においてこれらの
データ伝送手法は全世界で使われていたわけではなく、一部の通信事業者とサプライヤーは、これらの手法を使用
しない環境を選択していました。このセキュアな伝送システムは当社のスタンダードで、この手法を使用しないという
選択は例外的な状況に限られています。
公開された資料を分析すると、NSAとGCHQは当社以外にも数多くの組織をターゲットにしていたことが分かります。
市場リーダーであるジェムアルトは、両情報機関にとって最も数多くの携帯電話へアクセスする上で格好のターゲッ
トだったのかも知れません。ただし、同資料にはジェムアルトの事実にそぐわない情報も多く記載されており、そのい
くつかを下記に示します。

ジェムアルトは、資料に列挙されている 12 社の通信事業者のうち 4 社に SIM カードを販売したことがあ
りません。特に 300,000 のキーが盗まれたとされるソマリアの通信事業者がその一例です。
 当社のパーソナライゼーションセンターの所在地の一覧とされているリストに日本、コロンビア、イタリア
の SIM カードパーソナライゼーションセンターが記載されていますが、当時これらの地域でパーソナライゼー
ションセンターは稼動していません。
 表 2 によると、暗号化キーのやり取りの 2%のみ(38/1719)が SIM サプライヤーに由来するもので、
SIM サプライヤーによる強力な暗号化手法の使用は、残りの 98%のグループがこのようなタイプの攻撃に対
してより脆弱であることを意味すると記載されています。
2010年から2011年の期間において、ターゲットとされた各国のほとんどの通信事業者はまだ2G(第2世代)ネットワ
ークを使用していました。この2Gテクノロジーのセキュリティレベルが最初に開発されたのは1980年代で、2010年
の時点ではすでに脆弱で時代遅れであると認識されていました。もし両情報機関がこれらの2G SIMカード暗号化
キーを狙ったとすれば、これらのSIMカードが携帯電話で使用された場合に通信を傍受することは技術的に可能で
す。これは旧式の2Gテクノロジーについて既知の脆弱性で、ジェムアルトは通信事業者各社に追加のセキュリティ
メカニズムを実装することを推奨してきました。ただし、たとえ両情報機関による暗号化キーのハッキングがあったと
しても、その使用には限界があります。なぜなら、当時記載されている各国におけるほとんどの2G SIMはプリペイド
カードで、サイクルが非常に短いからです(通常は3~6カ月)。
元々の 2G 規格について既知の脆弱性は、独自開発のアルゴリズムの登場によってなくなりました。これらのアル
ゴリズムは現在もセキュリティを強化する追加レベルとして大手ネットワーク事業者に使われています。このセキュ
リティレベルは、暗号化が強化されている 3G テクノロジーと 4G テクノロジーの登場によってさらに高められていま
す。誰かが 3G SIM または 4G SIM で使われている暗号化キーをハッキングしたとしても、ネットワークに接続する
ことはできず、結果として通信を傍受することもできません。
したがって、今回報道された攻撃による3Gカードと4Gカードへの影響はありません。ただし、これらの新しい製品は
2Gとのバックワードの互換性を有していますが、価格が若干高く、時として通信事業者は価格のみで購入の決定を
下すこともあるため、世界中どこでも使われているわけではありません。
デジタルセキュリティは変化のない静的なものではりません。今日最先端のテクノロジーも、時間の経過と共に新た
なリサーチや処理能力の向上によって革新的な攻撃が可能になることで、その効果が失われてしまいます。どのよ
うに評価の高いセキュリティ製品であっても、すべてのセキュリティ製品は定期的に見直しとアップグレードを行わな
ければなりません。SIMカードも例外ではなく、これまでに絶え間なく進化・発展を遂げてきています。特に、3Gネット
ワークおよび4Gネットワーク向けにSIMカードのテクノロジーは大幅に改良が重ねられています。
当社と取引関係にある移動体通信事業者の場合、カスタムアルゴリズムを SIM カードへ組み込むために、セキュ
リティはさらに高い強度を備えています。当社の顧客企業が採用しているアルゴリズムに従ったテクノロジーは多様
で断片化されているため、グローバル規模で監視システムを展開するには複雑で、また費用もかさんでしまいます。
これが、通信事業者によるセキュリティメカニズムのカスタマイズを制限してしまう代替テクノロジーに当社が異を唱
える理由の 1 つです。このようなテクノロジーによって、不幸にしてセキュリティが破られたり防御に失敗したりした
場合でも、大規模な監視の組織化が大幅に簡約化されます。
ジェムアルトは、消費者向けアプリケーションに最高レベルのセキュリティを提供することに、重ねて取り組んでいき
たいと考えています。当社のセキュリティ製品、インフラ、プロセスは、グローバル規模でオープンな商業環境へ最
高レベルのセキュリティを確実に提供できるように考えられています。これらはすべて外部の第三者(民間・公的機
関)によって監査、認定を受けています。
その反面で、当社は枢要な国家機関、特にこれらの機関が連携した場合に、一般的なハッカーや犯罪組織が遠く
及ばないレベルの人的・物的資源と法的支援を活用できることを認識していると共に、これらの公的機関に疑いの
目を向けることのない民間企業に対するこのような無分別な行動に関与する恐れについて、懸念を感じています。
これらの事案に関して当社が最も重視しているのは、お客様です。この数日間、多くのお客様から寄せられたご支
援には、従業員一同感謝しています。今回の一連の出来事によって、お客様および業界とこれまで以上に緊密に
連携し、エンドユーザーのニーズに応えるさらに洗練されたソリューションを構築する必要性をあらためて実感して
いる次第です。
今日の世界では、すべての企業・組織がサイバー攻撃の標的になり得ます。このため、セキュリティのベストプラク
ティスを実践し、最新のテクノロジーを実装することがこれまで以上に大切になってきています。これには、たとえネ
ットワークへの不正アクセスがあった場合でも、盗まれた情報へ第三者が一切アクセスできないようにするための、
高度なデータ暗号化も含まれています。
ジェムアルトは、これからも自社のネットワークを監視し、継続してプロセスを向上させていく所存です。今回の事案
について、何らかの大きな進展がない限り、当社がこれ以上の情報発信を行う予定はありませんので、あらかじめ
ご了承ください。
ジェムアルトについて
ジェムアルト(ユーロネクスト NL0000400653 GTO)は世界44ヶ国に85の事業所、25の研究およびソフトウェア開
発センターを持ち、1万2千人以上の従業員を有するデジタルセキュリティのリーディングカンパニーです。2013年の
年間売上高は24億ユーロ(約3,360億円)を記録しました。
ジェムアルトは急速に進化しつつあるデジタル社会の中核的な存在です。世界中の数十億人の人々は自由に「い
つでも、どこでも」コミュニケーション、旅行、ショッピング、金融取引、娯楽、仕事を楽しく、安全に行ないたいと望ん
でいます。ジェムアルトはパーソナル・モバイル・サービス、決済のセキュリティ、信頼できるクラウドアクセス、個人
認証および個人情報の保護、電子ヘルスケアおよび電子政府の効率化、便利なチケットサービス、および信頼性の
高いマシンツーマシン(M2M)アプリケーションの高まるニーズに対して様々なソリューションを提供しています。ジェ
ムアルトは、セキュアな組込み用ソフトウェアや自社で設計しカスタマイズした信頼性の高い製品を開発しています。
独自のプラットフォームおよびサービスにより、これらの製品や製品に含まれる機密データを管理し、信頼のおける
エンドユーザー向けサービスの提供を実現しています。
ジェムアルトのイノベーションによりお客様が数十億人のエンドユーザーに対して信頼される利便性の高いデジタル
サービスを提供しています。多くの人々がデジタルおよびワイヤレスによるコミュニケーションを図る中で、ジェムア
ルトのソリューションが利用される機会はますます多くなっており、今後のビジネスの発展が見込まれます。
さらに詳しい情報はwww.gemalto.com/japan、www.justaskgemalto.com、blog.gemalto.comをご覧ください。