2025年7月11日、ポーランドのSecurity Explorations社の創設者兼CEOであるアダム・ゴウディアク氏が、世界中の数十億台のデバイスに搭載されているeSIMの脆弱性を発見したと発表した。
この脆弱性は、英国ケンブリッジに本社を置くKigen社製のeUICC(組み込み型汎用集積回路カード)に存在し、同社は世界で約20億台のSIMを提供している。問題の根源は、Oracle社のJava Card技術における6年前の脆弱性で、バイトコード検証の欠如による「型の混同」が原因である。
攻撃者は物理的アクセスによって暗号化キーを取得し、その後は無線(OTA)で悪意のあるアプレットをインストール可能となる。この脆弱性はCVSS評価で6.7点の中程度と評価された。
Kigen社は数百万台のデバイスにパッチを配布済みだが、Java Card技術を使用する他社製eSIMも同様の脆弱性を抱える可能性がある。攻撃により、通信傍受、SIMクローン作成、二要素認証コードの窃取が可能となり、特に国家レベルの攻撃者による悪用が懸念されている。
From: 
eSIM Bug in Millions of Phones Enables Spying, Takeover
【編集部解説】
今回のeSIM脆弱性の発見は、モバイル通信業界にとって極めて重要な警鐘となっています。この問題を理解するために、まず技術的な背景から解説していきましょう。
Java Cardの根深い構造的問題
この脆弱性の核心は、Oracle社のJava Card技術における「バイトコード検証」の欠如にあります。Java Cardは、限られたリソースしか持たないチップ上でJavaアプリケーション(アプレット)を実行するための環境です。本来、悪意のあるコードの実行を防ぐため、アプレットのバイトコードを事前に検証する仕組みが必要ですが、多くのeSIMチップではこの検証が省略されているのが実情です。
興味深いことに、この問題は2019年にすでにSecurity Explorations社によって指摘されていました。しかし当時、Oracle社は「適用不可」として対処を見送っていたのです。今回の研究は、この6年前の警告が現実の脅威となって顕在化したことを意味します。
攻撃シナリオの現実性
研究者のアダム・ゴウディアク氏が実証した攻撃手法は、一見複雑に見えますが、実際には段階的なアプローチです。まず物理的アクセスによって暗号化キーを取得し、その後は無線(OTA)で悪意のあるアプレットをインストールできるようになります。
特に注目すべきは、一度キーを取得すれば、その後の攻撃は完全にリモートで実行可能という点です。これは従来の物理的なSIMカード攻撃とは根本的に異なる脅威モデルを示しています。
業界への波及効果
Kigen社は世界で約20億台のSIMを提供しており、同社が数百万台のデバイスにパッチを配布したと発表しています。しかし、Java Card技術を使用する他のベンダーも同様の脆弱性を抱えている可能性が高く、業界全体での対応が急務となっています。
Oracle社は2025年4月にJava SEのセキュリティアップデートをリリースし、6件の脆弱性に対処しましたが、今回のeSIM関連の脆弱性については別途対応が必要な状況です。
国家レベルの脅威への懸念
この脆弱性が特に深刻なのは、高度な攻撃能力を持つ国家レベルの攻撃者による悪用の可能性です。通信の傍受、認証コードの窃取、さらには複数のeSIMプロファイルが共存する環境での相互侵害など、従来のサイバー攻撃の枠を超えた脅威が想定されます。
Hacker Newsでの議論では、中国などの特定国でセカンダリeSIMを使用する際のリスクが具体的に指摘されており、地政学的な観点からも重要な問題となっています。
eSIM技術の将来への影響
この発見は、eSIM技術の根本的な設計思想に疑問を投げかけています。従来、eSIMは物理SIMよりも安全とされてきましたが、今回の研究はその前提を覆すものです。
一方で、この問題の発見と対処は、eSIM技術の成熟に向けた重要なステップでもあります。セキュリティ研究者とベンダーの協力により、より堅牢なシステムの構築が期待されます。
長期的な技術進化への示唆
今回の事案は、IoTデバイスの急速な普及とともに、組み込みセキュリティの重要性がますます高まっていることを示しています。特に、リソースに制約のあるデバイスでのセキュリティ実装は、従来のアプローチでは限界があることが明らかになりました。
将来的には、ハードウェアレベルでのセキュリティ強化や、新しい検証メカニズムの導入が必要になるでしょう。この分野での技術革新は、eSIMだけでなく、IoT全体のセキュリティ向上につながる可能性があります。
【用語解説】
eSIM(Embedded SIM)
従来の物理的なSIMカードとは異なり、デバイスに組み込まれたデジタル形式の加入者識別モジュール。複数のキャリア契約を一つのデバイスで管理でき、物理的な交換が不要である。
eUICC(embedded Universal Integrated Circuit Card)
eSIMの中核技術で、リモートでのSIMプロファイル管理を可能にする組み込み型汎用集積回路カード。複数の通信事業者のプロファイルを保存・切り替えできる。
Java Card
リソースに制約のあるスマートカードやチップ上でJavaアプリケーション(アプレット)を実行するためのプラットフォーム。SIMカードやeSIMの基盤技術として広く使用されている。
バイトコード検証
Javaプログラムが実行される前に、悪意のあるコードや不正な操作を防ぐためにバイトコードの安全性を確認する仕組み。この検証が不十分だと脆弱性の原因となる。
型の混同(Type Confusion)
プログラムが異なるデータ型を誤って処理することで発生する脆弱性。攻撃者がこれを悪用してメモリ破損や任意コード実行を引き起こす可能性がある。
OTA(Over-The-Air)
無線通信を通じてソフトウェアやデータを遠隔でアップデートや配信する技術。eSIMではプロファイルの遠隔インストールに使用される。
CVSS(Common Vulnerability Scoring System)
脆弱性の深刻度を0.0から10.0の数値で評価する標準的なシステム。今回の脆弱性は6.7点の「中程度」と評価された。
GSMA(GSM Association)
世界のモバイル通信事業者の業界団体で、GSM規格やeSIM仕様の策定・管理を行う国際組織。
MNO(Mobile Network Operator)
移動体通信事業者の略称。携帯電話やモバイルデータサービスを提供する通信キャリアを指す。
【参考リンク】
Kigen公式サイト(外部)
英国ケンブリッジに本社を置くeSIM・iSIM技術のリーディングカンパニー。世界で約20億台のSIMを提供している。
Security Explorations公式サイト(外部)
ポーランドのセキュリティ研究所。今回のeSIM脆弱性を発見したアダム・ゴウディアク氏が創設者兼CEOを務める。
IPA(情報処理推進機構)セキュリティ情報(外部)
日本の情報セキュリティ政策を推進する独立行政法人。Oracle Javaの脆弱性情報や対策について定期的に情報を提供。
【参考記事】
数百万台のスマートフォンに存在するeSIMのバグがスパイ行為や乗っ取りを可能にする(外部)
今回のeSIM脆弱性について日本語で詳しく解説した記事。Kigen製eUICCカードの脆弱性と攻撃手法について技術的な詳細を含めて報告。
Oracle Java の脆弱性対策について(2025年4月)(外部)
2025年4月にリリースされたOracle Javaのセキュリティアップデートに関するIPA公式の情報。Java SEの複数の脆弱性への対処について説明。
Oracle Java の脆弱性(CVE-2025-23083等)について(外部)
Oracle Javaの複数の脆弱性について企業向けに影響範囲と対策を説明した記事。実際の製品への影響評価も含まれている。
【編集部後記】
今回のeSIM脆弱性の発見は、私たちが日常的に使っているスマートフォンのセキュリティについて改めて考える機会を与えてくれました。皆さんは現在、どのような通信環境でスマートフォンを使われていますか?eSIMをすでに活用されている方、これから導入を検討されている方、それぞれ異なる状況かと思います。新しい技術には必ずリスクが伴いますが、それを理解した上でどう向き合っていくべきでしょうか?特に海外旅行でセカンダリeSIMを使用される機会が増えている中、今回の発見は重要な示唆を与えています。読者の皆さんのeSIMに対する率直な感想や、モバイルセキュリティについて普段感じていることがあれば、ぜひお聞かせください。一緒に未来の通信技術について考えていければと思います。
