5G セキュリティ・リスク

no extension

とても残念な話だが,大国間の極めて政治的なやり取りによって 5G のセキュリティ・リスクについて本当のところの議論がなおざりになっている感がある。

というわけで Schneier 先生のエッセイを紹介する。

詳しくはリンク先を見てもらうとして,この記事では Bruce Schneier さんが挙げる3つのセキュリティ問題を挙げておく。

First, the standards are simply too complex to implement securely. This is true for all software, but the 5G protocols offer particular difficulties. Because of how it is designed, the system blurs the wireless portion of the network connecting phones with base stations and the core portion that routes data around the world. Additionally, much of the network is virtualized, meaning that it will rely on software running on dynamically configurable hardware. This design dramatically increases the points vulnerable to attack, as does the expected massive increase in both things connected to the network and the data flying about it.
Second, there’s so much backward compatibility built into the 5G network that older vulnerabilities remain. 5G is an evolution of the decade-old 4G network, and most networks will mix generations. Without the ability to do a clean break from 4G to 5G, it will simply be impossible to improve security in some areas. Attackers may be able to force 5G systems to use more vulnerable 4G protocols, for example, and 5G networks will inherit many existing problems.

いや,そんな継承いらんですよ orz

Third, the 5G standards committees missed many opportunities to improve security. Many of the new security features in 5G are optional, and network operators can choose not to implement them. The same happened with 4G; operators even ignored security features defined as mandatory in the standard because implementing them was expensive. But even worse, for 5G, development, performance, cost, and time to market were all prioritized over security, which was treated as an afterthought.

これで思い出したのは,本家旧ブログで10年以上前(!)に書いた「GSM の暗号の解読」である。 その中で紹介している『情報セキュリティ技術大全』の中身を少し紹介しよう。

電話会社の観点からいえば、 GSM は成功だった。 Vodafone などの GSM 通信事業者の株主は莫大な利益を得た。その(ほんの)一部は、 GSM のチャレンジレスポンスメカニズムによってクローニングに歯止めがかかったおかげである。暗号の弱点など大した問題ではなかった。それらが悪用されたことはまったく(少なくとも、通信料収入を大きく損なうような形では)なかったからである。

(中略)

犯罪者の観点からも、 GSM は申し分なかった。 GSM は、電話サービスの盗聴に対する歯止めにはならなかった。単に犯罪の手口が変わっただけで、そのつけはクレジットカード会社や、アイデンティティ窃盗や路上での強盗に遭った被害者個人に回された。

(中略)

顧客の観点から見れば、 GSM は本来完全に安全なものとして販売されていた。これは正しかったのだろうか。確かに基地局までの通信の暗号化によって、アナログ電話でよく悩まされていた日常生活の盗聴はなくなった (有名人が被害を受け、 世間の注目を集めた事件がいくつかあった。たとえば,チャールズ英皇太子が離婚前に愛人との会話を盗聴された英国での事件や、 ニュート・ギングリッジ元米下院議長が絡んだ米国での事件などである)。しかし、世界中のほぼすべての電話盗聴は巨大な諜報機関によって行われており、彼等にとって暗号はほとんど問題にならない。

5G Security” に於いても,以下のように指摘されている。

Chinese, Iranians, North Koreans, and Russians have been breaking into U.S. networks for years without having any control over the hardware, the software, or the companies that produce the devices. (And the U.S. National Security Agency, or NSA, has been breaking into foreign networks for years without having to coerce companies into deliberately adding backdoors.) Nothing in 5G prevents these activities from continuing, even increasing, in the future.

歴史は繰り返す。 ハムスターの回し車のように…

photo
情報セキュリティ技術大全―信頼できる分散システム構築のために
ロス アンダーソン (著), Anderson,Ross J. (原著), トップスタジオ (翻訳)
日経BP 2002-09-07
単行本
4822281426 (ASIN), 9784822281427 (EAN), 4822281426 (ISBN)
評価     

セキュリティ管理者をやってた頃は,これで勉強しました。絶版だよなぁ,これ。名著なのに。時事的な情報は古いが,今でも十分通用する内容だと思う。誰か(日経BP以外)電子化して!

reviewed by Spiegel on 2020-01-18 (powered by PA-APIv5)

photo
【Momugs Akira】ハムスター回し車 サイレントホイール ハムスター おもちゃ ストレス解消 静か プラスチック ブルー
bidear01
その他
B07925HGCX (ASIN), 0759981407536 (EAN), 759981407536 (UPC)

そういえば,うちは母親がネズミが嫌いだった。

reviewed by Spiegel on 2020-01-18 (powered by PA-APIv5)