アメリカの2つの大学のセキュリティ研究者が、T-Mobileの顧客の通話やテキストデータを完全に暗号化されていない衛星通信から傍受したと発表しました。研究者たちはまた、米軍や法執行機関を含む政府の機密通信も傍受することができたということです。これらはすべて、市販の約12万円の衛星受信システムを使用して行われました。
この研究は、カリフォルニア大学サンディエゴ校(UCSD)とメリーランド大学(UMD)によって共同で行われたもので、3年間にわたり実施されました。研究者たちはサンディエゴのラホヤ海岸地区にある大学の建物の屋上に、市販の衛星受信システムを設置し、南カリフォルニアから見える地球静止衛星の通信を傍受しました。
研究者たちは、異なる衛星にアンテナを向け、受信した信号を数ヶ月かけて解析しました。その結果、T-Mobileの携帯電話ネットワーク上の通話やテキストメッセージの内容、航空機乗客の機内Wi-Fiの閲覧データ、電力会社や海上の石油・ガスプラットフォームなど重要インフラへの通信、さらには米国とメキシコの軍事および法執行機関の通信までもが含まれていました。
研究チームは、衛星リンクを通じて送信されるデータが暗号化されていると予想していましたが、暗号化されていないことに驚いたとしています。研究の共同責任者であるアーロン・シュルマン氏は、衛星のセキュリティアプローチが「誰もチェックしないだろうという希望的観測に過ぎなかった」と述べています。
研究者たちは、データが漏洩したすべての企業や機関に通知しました。T-Mobileはすぐに通信を暗号化しましたが、すべての衛星システムユーザーが同様の対策を取ったわけではないということです。
T-Mobileの顧客データが漏洩したのは、遠隔地で携帯電話基地局がデータを中継するために衛星リンクを利用していたためです。T-Mobileの広報担当者は、「昨年、この研究により、非常に少数の基地局からの衛星バックホール通信におけるベンダーの暗号化問題が浮上し、迅速に修正された」と述べています。問題は「ネットワーク全体には及ばない」とし、再発防止策を講じたとしています。
AT&TメキシコとTelmexの顧客データも取得されており、前者は問題を修正したと述べています。
研究者が取得したデータは、単一の受信機からの狭い地理的範囲に限られており、放送されているデータの総量のごく一部に過ぎません。したがって、問題の真の世界規模ははるかに大きい可能性があるということです。