Recommended
More Related Content
What's hot
What's hot (20)
Similar to 4G LTE ネットワークの脆弱性 [LTEInspector_A Systematic Approach for Adversarial Testing of 4G LTE] 解説資料
Similar to 4G LTE ネットワークの脆弱性 [LTEInspector_A Systematic Approach for Adversarial Testing of 4G LTE] 解説資料 (18)
More from Ryosuke Uematsu
4G LTE ネットワークの脆弱性 [LTEInspector_A Systematic Approach for Adversarial Testing of 4G LTE] 解説資料
- 1. 4G LTEネットワークの脆弱性 「LTEInspector:A Systematic Approach for Adversarial Testing of 4G LTE」 解説資料 2018/3/15 Ryosuke Uematsu
- 2. 本資料の概要 n2018年3⽉に4G LTEネットワークの脆弱性を狙う攻撃⼿法が、論⽂ 「LTEInspector: A Systematic Approach for Adversarial Testing of 4G LTE」 によって発表された。 n論⽂では、10件の攻撃⼿法が発表された。 n攻撃ツールとして、オープンソースプロジェクトであるOpenLTEとSDR(Software Defined Radio)を利⽤している。SDRはUSRP B210($1,300程度)を⽤いている。 n本資料では、発表された論⽂の攻撃⼿法を説明する 1 (参照)https://www.ettus.com/product/details/UB210-KIT (参照)https://sourceforge.net/projects/openlte/
- 5. 攻撃対象となるプロセス n 今回の論⽂では3プロセス(Attach, Detach, Paging)における攻撃⼿法について⾔及されている n Attach:LTEネットワークに初回アクセス時に発⽣する認証プロセス n Detach:LTEネットワークから切断する際のプロセス n Paging:着信時などに発⽣するプロセス 4 (出典)「LTEInspector: A Systematic Approach for Adversarial Testing of 4G LTE」 https://assets.documentcloud.org/documents/4392401/4G-LTE-attacks-paper.pdf Attach Procedure Paging Procedure Detach Procedure
- 6. 攻撃⼿法サマリ n論⽂では攻撃⼿法が10件⽰されている。内8件は実際に攻撃検証済み。 5 ID 攻撃名 影響する プロセス 攻撃成⽴の前提条件 攻撃成⽴時の影響 検証状 況 攻撃 コスト 危険度 (私⾒) 攻撃難易度 (私⾒) A-1 Authentication Synchronization Failure Attach 攻撃対象の端末識別番号(IMSI)を知る必要がある 特定の端末がサービス不能に なる 済み $2,600 中 難 A-2 Traceability Attach 偽装基地局が必要 基地局設置場所レベルの位置 情報漏洩 済み $2,600 低 難 A-3 Numb using auth reject Attach 偽装基地局が必要 端末がサービス不能になる 済み $1,300 中 易 A-4 Authentication relay Attack Attach ・攻撃対象の端末識別番号(IMSI)を知る必要がある ・偽装基地局が必要 ・偽装端末が必要 メッセージの盗聴 サービス不能 位置情報履歴の改竄 済み $3,900 ⾼ 超難 P-1 Paging channel hijacking Paging 偽装基地局が必要 着信サービス不能 済み $1,300 中 難 P-2 Stealthy kicking-off Paging ・攻撃対象の端末識別番号(IMSI)を知る必要がある ・偽装基地局が必要 端末をサービス不能にする 済み $1,300 中 難 P-3 Panic Paging 偽装基地局に接続させる必要がある 混乱を引き起こす 未 $1,300 低 (?) 易 P-4 Energy depletion Paging ・攻撃対象の端末識別番号(IMSI)を知る必要がある ・端末が接続した際の識別番号(GUTI)を知る必要があ る ・偽装基地局が必要 バッテリ切れ ⼀部済 み $1,300 低 難 P-5 Linkability Paging ・攻撃対象の端末識別番号(IMSI)を知る必要がある 基地局設置場所レベルの位置 情報漏洩 未 $1,300 低 難 D-1 Detach/ Downgrade Detach ・攻撃対象の端末識別番号(IMSI)を知る必要がある ・偽装基地局が必要 サービス不能 2G/3Gへのダウングレード 済み $1,300 中 難
- 7. 攻撃⼿法 A-1:Authentication Synchronization Failure Attack n 攻撃者が正規ユーザになりすまして、キャリアのネットワークに対してDoS攻撃を⾏うことで正規 ユーザを利⽤不能にする攻撃。 n 攻撃対象ユーザのSIM固有識別番号(IMSI)を事前に知っている必要がある。無差別に攻撃することも 可能。 6 攻撃者 正規ユーザ 基地局(eNodeB) MME HSS ②試⾏カウンタが カウントアップし 続ける ③Attach Request ④Authentication Request ③正規ユーザが Attach Requestを送 る ④カウントアップし た値を含むレスポン スを返す 【前提条件】 ・攻撃対象ユーザのSIMの識 別番号(IMSI)を知っている ①Attach Request(ユーザと同じIMSI) を送り続ける ①Attach Request ①Attach Request ⑤レスポンスのカウンタ値に不整合が あるため、認証に失敗する。 ⑤Authentication failure
- 8. 攻撃⼿法 A-2:Traceability Attack n 攻撃者は偽装基地局を設置し、攻撃対象ユーザをその配下に接続させる必要がある n 偽装基地局に接続させるためには、ユーザが使⽤するSIMの秘密鍵(K値)を知る必要がある n 確かにこういった動きはするが、意図がよく分からない。攻撃になるのか?? 7 偽装基地局 攻撃対象ユーザ 【前提条件】 ・攻撃対象ユーザを偽装基地局配下にいること ・認証を成功させるためには、ユーザSIMのK値を知る必要がある ①全ユーザに攻撃対象ユーザの接続時送った SecurityModeCommandのリプレイ攻撃をする その他ユーザ ②攻撃対象ユーザのみ正常な応答をする ②攻撃対象ユーザ以外はReject応答を する 攻撃者 OpenLTE
- 9. 攻撃⼿法 A-3:Numb Attack n攻撃者は偽装基地局を設置する必要がある。その配下のユーザすべてが攻撃対象。 n偽装基地局にアクセスしてきたユーザすべてのリクエストをリジェクトすることで 利⽤不能にする攻撃。 n何も考えずにRejectメッセージを返すだけなので容易に実⾏可能。 8 ②すべてユーザのattach requestに 対して認証失敗(Authentication Reject)を送る ①Attach Requestを送信 ③圏外状態になったまま利⽤不能になる。 再度正常に利⽤するためには端末の再起 動が必要。(端末の実装次第ではある) 攻撃対象ユーザ 偽装基地局 攻撃者 OpenLTE 【前提条件】 偽装基地局を設置して、強い電波を送信す ることで近くのユーザを引き込む
- 10. 攻撃⼿法 P-1:Paging channel hijacking n攻撃者は偽装基地局を設置する必要がある。 n攻撃者は偽装基地局を使って、正規の基地局と同じサイクルでダミーのPagingメッ セージを送り続けることで、攻撃対象ユーザがPaging(着信通知)を受け取れなくす る攻撃である。 9 攻撃対象ユーザ 基地局 ①ダミーPaging(empty) ②ダミーPagingのDoS攻撃により、 着信通知を受けられない 偽装基地局 攻撃者 OpenLTE
- 12. 攻撃⼿法 P-2:Stealthy kicking-off/P-5:Linkability Attack n 攻撃者は偽装基地局を設置する必要がある。また、攻撃対象ユーザのSIM固有識別番号(IMSI)を事前 に知っている必要がある。(P-2) n 攻撃者がIMSIを知らなかった場合、無作為に選んだIMSIを持つユーザがいるかどうかを判別できる。 (P-5) n 攻撃者は偽装基地局を使って、なりすましたPagingメッセージを送ると、攻撃対象のスマートフォ ンが接続済みの基地局に対して切断要求を送り、Pagingを送ってきた偽装基地局に接続しに⾏く。 中間者攻撃への事前準備として⽤いられる。(P-2) 11 攻撃対象ユーザ 基地局 ①Paging(IMSI) 偽装基地局 攻撃者 OpenLTE ③Attach Request 【前提条件】 ・攻撃対象ユーザのSIM固有識別番号(IMSI)を知る 必要がある 接続要求を送信 切断要求を送信
- 13. 攻撃⼿法 P-4:Energy depletion Attack n 攻撃者は偽装基地局を設置する必要がある。また、攻撃対象ユーザのSIM固有識別番号(IMSI)を事前 に知っている必要がある。 n 攻撃者は偽装基地局を使って、なりすましたPagingメッセージを送り続けることで、攻撃対象ユー ザを意図的に偽装基地局に接続要求を繰り返し送信させることによって、バッテリー消費を激しくす る。 12 攻撃対象ユーザ ①Paging(IMSI) 偽装基地局 攻撃者 OpenLTE ②Attach Request/ Service Request 【前提条件】 ・攻撃対象ユーザのSIM固有識別番号 (IMSI)を知る必要がある 通常より何倍もの接続要求を送信 し続けるため、バッテリーの消費 が激しくなる 繰り返し送ることで攻撃対象 ユーザのスマートフォンに接続 要求を何度も送信させる
- 14. 攻撃⼿法 P-2:Stealthy kicking-off/P-5:Linkability Attack n 攻撃者は偽装基地局を設置する必要がある。また、攻撃対象ユーザのSIM固有識別番号(IMSI)を事前 に知っている必要がある。 n 攻撃者はDetach Request(Re-attach not Required)を送信して、切断させる。受信したスマー トフォンは4G LTEネットワークから切断され、2G/3Gネットワークに強制的に接続しにいく。 13 攻撃対象ユーザ 基地局 ①Paging(IMSI) 偽装基地局 攻撃者 OpenLTE ③Attach Request 【前提条件】 ・攻撃対象ユーザのSIM固有識別番号(IMSI)を知る 必要がある 接続要求を送信 切断要求を送信 ④Detach Request (Re-attach not Required) Re-attach not Requiredを付けてDetach Requestを 送ると、4Gにはアクセスせず、2G/3Gにアクセスさ せることができる。
- 15. 攻撃⼿法 A-4:Authentication relay Attack n 偽装基地局と偽装端末によって⾏う中間者攻撃。 n 攻撃対象ユーザのSIM固有識別番号(IMSI)を知る必要がある n 正規ユーザを攻撃者が設置した偽装基地局に誘導し、ユーザのメッセージを正規の基地局にリレーする。 n 通信キャリア側で暗号化の設定を⾏っていなかった場合に限り、通信の盗聴・改竄などが可能となる。アメリカ のAT&T, ベライゾン, Sprint, T-mobileのいずれかではそのような設定であった模様。(国内の通信キャリアで は存在しないはず。) 14 中間者攻撃 攻撃対象ユーザ ②Paging 偽装基地局 【前提条件】 ・強い電波を送信することで近くのユーザを引き込む ・攻撃対象ユーザのSIM固有識別番号(IMSI)を知る必要がある ④接続要求(Attach Request) 基地局 偽装端末 WiFi接続 基地局 ⑤接続要求をリレー ⑥接続完了 ⑦接続完了をリレー OpenLTE 攻撃者 OpenLTE ⑧攻撃例 ・キャリア側の設定で暗号化を⾏っていない場合、 ユーザが利⽤するすべてのサービスにおけるデー タを盗聴・改竄が可能 ・ユーザにかかってきた電話を拒否するなどの部 分的なDoS攻撃も可能