カナダ・トロント大学のCitizen Labは2026年4月23日、ゲイリー・ミラーとスワンチェ・ランゲによる報告書「Bad Connection」を公開した。商用監視ベンダー(CSV)と疑われる2主体STA1とSTA2による通信網悪用を分析したものだ。STA1は2024年11月25日、中東モバイル事業者のVVIP加入者を標的に、SS7とDiameterを切り替え4時間にわたり位置追跡を試行、英国Tango Networks UK、イスラエル019Mobile、ジャージー島Airtel Jersey/Sureなど9カ国11事業者の識別子を用いた。STA2は2025年2月11日、SIMjacker型バイナリSMSによる位置窃取を試み、スウェーデンTelenabler AB、リヒテンシュタインFL1、ルワンダAirtelの番号を悪用、関連追跡試行は2022年10月以降1万5,700件超を確認、スイスFink Telecom Servicesとの関連も指摘された。調査にはCellusys、Telenor Linx、Roaming Audit、P1 Securityが協力した。
From: 
Bad Connection: Uncovering Global Telecom Exploitation by Covert Surveillance Actors
【編集部解説】
このレポートを読んで、まず編集部が驚いたのは、現代のサイバー監視が「スパイウェアを端末に仕込む」という従来モデルから、もう一段、根の深い場所へと潜り込んでいた事実です。Pegasusに代表される従来型スパイウェアは、攻撃対象のスマートフォンそのものに侵入する手法でした。一方、今回Citizen Labが暴いたSTA1とSTA2は、スマートフォンには一切触れません。攻撃対象が利用している通信事業者と他事業者との間に存在する「事業者間の信頼関係」そのものを乗っ取って、位置情報を抜き取っているのです。
ここで重要なのが、SS7(3G時代のシグナリング・プロトコル)とDiameter(4G/5G用)という、通信業界では古くから知られた脆弱性です。SS7は1975年に「事業者同士は基本的に信頼している」前提で設計されたため、認証も暗号化もありません。後継のDiameterはTLSやIPsecによる暗号化を組み込んで設計されたものの、現実の事業者の多くがこれらの保護機能を実装せず、SS7と同じピア・ツー・ピアの信頼モデルに依存し続けている、とCitizen Labは指摘しています。
つまり今回明らかになったのは「未知の脆弱性」ではなく、「指摘され続けてきたのに放置されてきた構造的欠陥が、商用サービスとして稼働している」という事実です。この点こそが本レポートの核心と言えるでしょう。
特に編集部が注目したのは、Citizen Labが用いた「Ghost Operators(ゴースト・オペレーター)」という言葉です。攻撃者は、英国のTango Networks UK、イスラエルの019Mobile、そしてジャージー島のAirtel Jersey/Sureという、実在する正規通信事業者の識別子を使ってメッセージを送信します。受け取った標的側のネットワークから見れば、これは「正規の事業者から正規のローミング・トラフィックが届いた」ようにしか見えません。脅威の幽霊化です。
STA2の手口はさらに巧妙で、SIMjackerと呼ばれる手法を使っています。これは、SIMカード内に埋め込まれた「S@T browser」という、利用者が存在すら知らない古いアプリケーションを悪用するものです。2019年にENEA(旧AdaptiveMobile Security)が公表した時点で、S@T browser技術は少なくとも29カ国の61事業者で使用されており、累積加入者数で約8億6,100万件、影響を受ける可能性のある規模としては最大で10億人規模に達するとも推定されていました。バイナリSMSを1通送るだけで、画面表示も通知もなく、SIMが勝手に位置情報を集めて攻撃者に送り返す——いわばSIM自身がスパイになる、というわけです。なお、影響を受けるのはS@T browserが有効化されているSIMに限られる点には注意が必要です。
この問題が日本の読者にとって他人事ではない理由は明確です。日本人が海外出張や旅行でローミングする瞬間、相手国の通信網はSS7とDiameterの混在環境で動いており、自国キャリアのファイアウォールは届きません。さらに国内でも、4G/5Gネットワークと旧世代システムの「コンバインド・アタッチ」機能を悪用すれば、攻撃者はプロトコル間を自在に行き来できる、と本レポートは説明しています。
規制の動きも追いかけておく必要があります。米国では2024年3月、FCC(連邦通信委員会)がSS7とDiameterの脆弱性悪用について、通信事業者に対し利用者の位置追跡への悪用を防ぐ対策を説明し、2018年以降の悪用事例の詳細を提出するよう求めました。米上院議員ロン・ワイデン氏も繰り返し問題提起を行っており、今回のCitizen Labレポートは、この規制議論を加速させる材料として位置づけられます。
ポジティブな側面として見るべきは、Cellusys、Telenor Linx、Roaming Audit、P1 Securityといったセキュリティ企業がデータ提供で協力し、シグナリング・ファイアウォールが攻撃を実際にブロックしていた事実です。今回標的となった中東のVVIP加入者も、ファイアウォールによって最終的な追跡は阻止されました。技術的な対抗策は存在しているわけです。問題は、その対抗策が世界の事業者全体に展開されていない点にあります。
潜在的なリスクとして編集部が懸念するのは、「Global Title leasing(グローバル・タイトル貸出)」という商習慣です。本来は事業者にのみ割り当てられるはずのシグナリング識別子が、商業的に第三者へリースされる仕組みが存在し、これが商用監視ベンダーの隠れた供給ルートになっています。スウェーデンのTelenabler ABの番号「467647531812」からは、2023年10月から2025年4月の期間だけでも1,700件超のSS7攻撃が観測されたと報告されており、しかもその92%以上が位置追跡用途だったとのことです。
長期的な視点では、5G時代のSEPP(Security Edge Protection Proxy)などの新しい保護機構の本格普及、そして何より「事業者間の信頼モデル」というインターネット以前の前提を、認証・監査・規制の三本柱でどう置き換えていくかが問われています。Citizen Labの結論は明快で、レガシーな信頼モデルにこれ以上頼ることはできない、と断じています。
通信網は、私たちが日常的に「当たり前」として使っているインフラです。しかしその「当たり前」の設計思想は、半世紀近く前に書かれたまま、商用監視という現代的な脅威の温床になっている——これが、本レポートが私たち読者に突きつけている、技術史的な問いだと編集部は受け止めています。
【参考情報】
SS7(Signaling System No. 7)
1975年に開発された電話網のシグナリング・プロトコル群。2G・3Gネットワークの国際ローミング、SMS、緊急通報などを支える基盤技術。事業者間の信頼を前提に設計されているため、認証や暗号化の仕組みを持たないことが弱点となっている。
Diameter(ダイアミター)
4G/LTEおよび5Gの大半で使われるシグナリング・プロトコル。SS7の後継として、TLSやIPsecによる暗号化、事業者間認証などのセキュリティ機構が組み込まれた。ただし、現実には多くの事業者がこれらを実装しておらず、SS7と同様の脆弱性が残存している。
IMSI(International Mobile Subscriber Identity)
SIMカードに記録される国際的に一意な加入者識別番号。電話番号(MSISDN)とは別の内部識別子であり、本レポートでは攻撃者が標的を特定するための鍵として扱われている。
IR.21
GSMAを通じて事業者間で共有される技術文書仕様。事業者ネットワークのコード、シグナリング・アドレス範囲、相互接続情報などが記載され、国際ローミング運用の基礎となる。攻撃者が悪用すれば、正当に見せかけたシグナリング・メッセージを生成できる。
IPX(IP Exchange)
モバイル事業者間で4G/5Gのシグナリングやデータをやり取りするためのIPベースの相互接続基盤。BICS、Comfone AG、Syniverse Technologies、Tata Communicationsなどが代表的な事業者として知られる。
Global Title(GT)
SS7ネットワーク上で事業者を識別するためのアドレス。各国の通信規制当局が事業者に割り当てる。本レポートでは、このGTを第三者にリース(貸し出し)する商習慣が、監視ベンダーによる悪用の温床になっていることが指摘されている。
SIMjacker
2019年にAdaptiveMobile Security(現ENEA)が公表した、SIMカードの脆弱性を悪用するゼロクリック型のSMS攻撃手法。SIMカード内に存在する古いアプリ「S@T browser」に対しバイナリSMSで命令を送り込み、利用者に気づかれることなく端末の位置情報などを収集する。
S@T browser(SIMalliance Toolbox Browser)
SIMカードに内蔵されることのあるマイクロブラウザ・アプリケーション。仕様は2009年以降更新されておらず、認証機構を持たないためSIMjackerの標的となっている。
STK(SIM Toolkit)
SIMカードと端末の間で動作する一連の標準コマンド群。本来は事業者がネットワーク設定や付加価値サービスを提供するための仕組みだが、攻撃者に悪用されると端末の位置情報送信などを発動できる。
Combined Attach(コンバインド・アタッチ)
ローミング中の端末が、3G(SS7)と4G(Diameter)の両方のネットワークに同時に登録されることを許す手順。サービス継続性のための機能だが、攻撃者がSS7とDiameterの間を継ぎ目なく切り替えながら攻撃を行うための経路として悪用される。
CSV(Commercial Surveillance Vendor、商用監視ベンダー)
政府機関などを顧客として、傍受や追跡を行う監視ツールやサービスを開発・販売する民間事業者の総称。NSO GroupのPegasusのようなデバイス侵入型と、本レポートが扱う通信網悪用型の両方が含まれる。
VVIP(Very Very Important Person)
本レポートで2024年11月に標的となった人物を、事業者が表現した呼称。著名企業の経営幹部であったとされる。
Ghost Operator(ゴースト・オペレーター)
Citizen Labが本レポートで提示した概念。攻撃者が正規通信事業者の識別子を借りるなどして、あたかも実在の事業者から送信されたかのように装う手法を指す。
OPSEC(Operational Security、運用セキュリティ)
作戦・運用上の情報や手がかりが漏れないようにするための一連の慣行。本レポートでは、キャリア間プロバイダーがOPSECに弱く、攻撃トラフィックを十分にスクリーニングできていない実態が指摘されている。
Salt Typhoon / Liminal Panda / MuddyWater
本レポートの表1に登場する国家支援型のサイバー諜報主体。Salt Typhoonは中国国家安全部(MSS)、Liminal Panda(別名LightBasin)は中国系スパイ活動主体、MuddyWaterはイラン情報治安省(MOIS)と関連付けられており、いずれも通信インフラを標的にしてきた事例が報告されている。
The Citizen Lab(外部)
カナダ・トロント大学マンク公共政策大学院に拠点を置く学際的研究機関。情報通信技術と人権・グローバル安全保障の交差領域を調査している。
Bad Connection(本レポート原文)(外部)
本記事で取り上げたCitizen Lab Report No. 192の本体ページ。著者ミラー氏とランゲ氏による調査報告書。
Cellusys(外部)
本調査でテレメトリーを提供したアイルランド拠点のシグナリング・セキュリティ企業。SS7・Diameterのファイアウォール製品を提供。
Telenor Linx(外部)
本調査に協力した国際シグナリング・ネットワーク提供事業者。ノルウェー系通信大手Telenor傘下。
Roaming Audit(外部)
Citizen Lab調査に協力した通信データ・インテリジェンス提供事業者。ローミング関連の監査・分析を専門とする。
P1 Security(外部)
通信ネットワーク・セキュリティに特化したフランス拠点の企業。SS7、Diameter、5Gの脆弱性研究で知られる。
ENEA(SIMjacker解説ページ)(外部)
SIMjacker脆弱性を最初に公表した企業による公式情報ページ。技術的詳細とFAQが公開されている。
GSMA(GSM Association)(外部)
世界の移動体通信事業者を束ねる業界団体。IR.21文書仕様の管理元でもある。
Tango Networks(外部)
本レポートでDiameter識別子が悪用された英国子会社を持つ、米国拠点のエンタープライズ向け移動体通信サービス事業者。
019Mobile(Telzar 019)(外部)
本レポートで識別子が悪用されたイスラエルのモバイル事業者。
Sure(Airtel Jersey)(外部)
本レポートで識別子が悪用されたチャネル諸島ジャージー島の通信事業者。現在はSure Group傘下。
Fink Telecom Services(FTS)(外部)
スイス拠点の通信シグナリングおよびSMSルーティング企業。STA2との関連が指摘されている。
Federal Communications Commission(FCC)(外部)
米国の連邦通信委員会。2024年3月よりSS7・Diameterの脆弱性に関する公的調査を行っている。
Surveillance vendors caught abusing access to telcos to track people’s phone locations(TechCrunch)(外部)
Citizen Labレポートの第一報。研究者ミラー氏が「イスラエル拠点の商業地理情報プロバイダー」を示唆する手がかりに言及した独自取材を含む。
Surveillance campaigns use commercial surveillance tools to exploit long-known telecom vulnerabilities(CyberScoop)(外部)
Citizen Labディレクター、ダイバート氏による「ゴースト・オペレーター」概念の解説と、米FCC・ワイデン上院議員の規制議論を整理した記事。
Covert telecom spying campaign “Ghost Operators” tracks users worldwide(CyberInsider)(外部)
STA2による1万5,000件超の追跡試行とFink Telecom Servicesとのパターン上の重なりを過去報道と関連付けて解説した記事。
Simjacker – Next Generation Spying via SIM Card Vulnerability(ENEA)(外部)
SIMjackerの第一発見者ENEAによる技術解説。最大10億人規模の利用者に影響しうる旨と実際の悪用国の経緯を説明している。
FCC finally set to do something about SS7 vulnerabilities(The Register)(外部)
2024年3月27日に米FCCが通信事業者に対し悪用防止策と2018年以降の事例提出を求めた経緯を解説。規制議論の文脈理解の補足資料となる。
Simjacker SMS – Example and Frequently Asked Questions(ENEA)(外部)
S@T browser技術が29カ国・61事業者で使用され、累積加入者数約8億6,100万件に上るとの推定値を提示。SIMjackerが政府向け監視で活用されている旨も明記。
【編集部後記】
ふだん何気なく使っている携帯電話の裏側で、これだけ古い設計思想と新しい監視ビジネスが交錯していたという事実、いかがだったでしょうか。SS7やDiameterといった言葉は耳慣れないかもしれませんが、私たちが海外でローミングを使ったり、国際SMSを受け取ったりする瞬間、必ず関わってくる仕組みです。みなさんはご自身のスマートフォンが「事業者間の信頼」という前提の上で動いていることを、これまで意識されたことはありましたか。技術の利便性と引き換えに、私たちは何をどこまで委ねているのか——一緒に考えていけたら嬉しいです。
