2026-06-02

VU#615987: Verizon VoLTEにおけるIMS SIP信号のIPsec整合性保護の欠如

VerizonのVoLTE展開において、IMSネットワーク上でSIP信号が整合性保護なしで送信されていることが確認されました。この問題により、攻撃者がSIPメッセージを傍受、再生、または改ざんするリスクが高まります。Verizonはこの問題を認識しているものの、具体的な対策が確認されていないため、ユーザーは引き続き注意が必要です。

メトリクス

このニュースのスケール度合い

8.5 /10

インパクト

8.0 /10

予想外またはユニーク度

7.0 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

6.5 /10

このニュースで行動が起きる/起こすべき度合い

6.0 /10

主なポイント

  • VerizonのIMSネットワークでは、SIP信号が整合性保護なしで送信されており、攻撃者による操作が可能です。
  • Verizonはこの問題を認識しているものの、具体的な対策が未確認であり、リスクが残っています。

社会的影響

  • ! この脆弱性は、VoLTEを利用するユーザーの通信の安全性を脅かす可能性があります。
  • ! 特に緊急通報の誤ルーティングは、社会的に重大な影響を及ぼす可能性があります。

編集長の意見

VerizonのVoLTE展開におけるSIP信号の整合性保護の欠如は、通信の安全性に対する重大な脅威を示しています。VoLTEは、音声通話をIPネットワーク上で行うための重要な技術であり、特に緊急通報においてはその信頼性が求められます。SIP信号が整合性保護なしで送信されることは、攻撃者による通話のハイジャックやメッセージの改ざんを可能にし、ユーザーのプライバシーや安全を脅かす結果となります。Verizonはこの問題を認識しているものの、具体的な対策が未確認であるため、ユーザーは引き続き注意が必要です。今後、VerizonがSIPセキュリティの交渉とESP保護を有効にし、正しいキャリア設定を適用することが求められます。また、ユーザーは自らの通信が安全であることを確認するために、定期的に設定を見直すことが重要です。特に、緊急通報に関しては、信号の整合性が確保されているかどうかを確認することが求められます。これにより、VoLTEの信頼性を高め、ユーザーの安全を守ることができるでしょう。

解説

Verizon VoLTEのIMSでSIP整合性保護が欠落—オンパス改ざんと誤ルーティングが現実的脅威です

今日の深掘りポイント

  • CERT/CCがVU#615987として、VerizonのVoLTE/IMSでSIPシグナリングにIPsecによる整合性保護が適用されていないケースを公表しました。これにより傍受・再生・改ざんのリスクが生じます。
  • 観測例では登録(REGISTER)、発呼(INVITE)、メッセージング(MESSAGE/SMS over IMS)がIPsecでカプセル化されずに流れていたとされ、コアに近いオンパス攻撃者に操作余地が生まれます。
  • 事業者側は問題を認識しているものの、恒久対策の適用可否・時期は未確認です。運用設定にIPsec関連の追加があったとの報はある一方、実地の適用状況は未検証です。
  • 緊急通報の誤ルーティングや、IMS経由SMSの改ざん・なりすましなど、公共安全と企業オペレーションに直結するリスクが想定されます。
  • 企業はキャリア音声/SMSを「平文相当の制御プレーン」と見なして代替策(E2E暗号化通話、SMS非依存の多要素認証)へ移行を前倒しで進めるべき局面です。

はじめに

モバイルの音声は「安全」という直感に支えられてきましたが、VoLTE時代の安全性はIMS上のSIP制御が守られていることに依存します。今回のCERT/CCの指摘は、その足元を揺るがす内容です。エンドユーザーがVerizonを直接是正できるわけではありません。だからこそCISOやSOCは、事業継続と公共安全の観点から「携帯音声とSMSのリスク再定義」を今ここでやり切る必要があります。規格上は整合性保護が標準的に想定される区間で、現実の運用が追いついていないとき、攻撃者は最短距離でビジネスを壊しに来ます。私たちはその距離を正しく見積もるべきです。

深掘り詳細

事実関係(公開情報で確からしいこと)

  • CERT/CCはVU#615987で、VerizonのVoLTE展開におけるIMSネットワーク上のSIPシグナリングがIPsecによる整合性保護なしで送信されるケースが確認されたと公表しています。これによりSIPメッセージの傍受・再生・改ざんのリスクが高まるとしています。事業者は問題を認識済みですが、対策の具体性やロールアウト状況は確認されていないとされていますです。
  • 報告では、登録・発呼・メッセージングに関わるSIPがIPsec非カプセル化のまま観測されたと述べられています。最近、IMS向けのIPsec設定が追加された兆候はあるものの、運用適用の有無は未確認とされていますです。
  • 緊急通報(E911相当)の誤ルーティング可能性が社会的影響として指摘されていますです。
  • 参考: CERT/CCの脆弱性ノートは以下です。

技術的インサイト(なぜ危険なのか、どこが痛点なのか)

  • VoLTEでは、端末(UE)とP-CSCF間のGmインタフェースでSIP制御プレーンの完全性が最重要です。ここが守られていないと、攻撃者はREGISTERやINVITE、MESSAGEのヘッダ・本文を書き換え、着信先のすり替え、セッション状態の撹乱、あるいはSMS over IMSの改ざん・なりすましを企図できますです。
  • 特に深刻なのは「制御プレーンの改ざんは、メディアプレーン保護の有無にかかわらず通話の意図と経路を歪められる」点です。仮に音声が別経路で暗号化されていても、INVITE/REFER/302の操作で呼を攻撃者のSBCへ誘導できれば、録音・拒否・中断などの効果を与えられますです。
  • 緊急通報はIMS側で特別な取り扱いとルーティングポリシーが適用されます。SIPレベルの位置・ネットワーク情報やダイアルドメインの取り扱いに介入されると、PSAPへの到達性・正確性が損なわれうる可能性があり、社会的影響が大きい領域です(本点は技術特性からのリスク推論であり、各事業者の実装差により影響は異なる可能性があります)です。
  • 実現難易度は「無作為の第三者」が外部から簡単にできる、というよりも「ネットワーク上のオンパス権限を得た攻撃者」(悪性内部者、侵害されたネットワーク要素、ローミング経路や相互接続、悪用された小型セル等)が脅威主体となるシナリオです。したがって確率は中庸でも、一度成立すれば被害の連鎖が大きいタイプのリスクと評価できますです。

脅威シナリオと影響

以下は公開情報と一般的なIMS運用知見からの仮説ベースのシナリオです。各社の実装とネットワーク境界によって成立条件は変わる点に留意くださいです。

  • シナリオ1: REGISTERの改ざん・リプレイによる着信ハイジャック

    • 攻撃仮説: オンパスでUEのREGISTERを改ざんし、Contactを攻撃者のエンドポイントへ向ける、あるいは有効期限内のレスポンスを再生して端末の状態を撹乱しますです。
    • 期待効果: 特定番号あての着信が攻撃者装置に流れ、詐欺・情報搾取・なりすましの起点になりますです。
    • ATT&CK対応付け(仮説): Adversary-in-the-Middle(T1557)、Network Sniffing(T1040)、Data Manipulation(T1565)です。
  • シナリオ2: INVITE/3xx応答の書き換えによる発呼の乗っ取り・録音

    • 攻撃仮説: 発呼時のINVITEや302/305などのリダイレクト応答に介入し、攻撃者管理のSBCやボイスボットに誘導しますです。
    • 期待効果: 発信者は気づかぬまま別経路へ接続し、会話内容・メタデータの収集や業務プロセス撹乱につながりますです。
    • ATT&CK対応付け(仮説): Adversary-in-the-Middle(T1557)、Application Layer Protocolの悪用(T1071の文脈)、Data Manipulation(T1565)です。
  • シナリオ3: SMS over IMS(SIP MESSAGE)の傍受・なりすまし

    • 攻撃仮説: 2要素認証コードやワンタイムリンクを含むSMS over IMSを観測・改ざんしますです。
    • 期待効果: アカウント乗っ取りや追加詐欺の踏み台化が容易になりますです。
    • ATT&CK対応付け(仮説): Network Sniffing(T1040)、Credentials In Files/Obfuscated/その他の窃取連鎖の起点としてData Manipulation(T1565)です。
  • シナリオ4: 緊急通報の誤ルーティング

    • 攻撃仮説: 緊急呼のSIPヘッダやルート情報、関連する位置情報コンテナに介入し、適正なPSAPへ届かないように操作しますです。
    • 期待効果: 重大インシデント時の救命活動に遅延・失敗をもたらします。社会的・法的影響が最大化するリスク領域です(技術特性からの推測であり、実装差により成立条件は大きく変わります)です。
    • ATT&CK対応付け(仮説): Adversary-in-the-Middle(T1557)、Impair Process Control相当の業務撹乱系(フレームワーク横断の観点)です。

編集部としての総合所見としては、攻撃の新規性は特別高いわけではない一方、規模・公共安全性・運用の可視性の低さが重なり、現場が能動的に対策しないと長期化しやすいタイプのリスクだと見ています。したがって「いますぐ変えられる運用」を優先し、キャリア側の是正に依存しすぎない備えへ舵を切ることが肝要です。

セキュリティ担当者のアクション

キャリア網の内部設定は直接コントロールできません。だからこそ、次の「自助」の優先順位を明確にすることが、守りの近道です。

  • まずは事実確認とエスカレーション

    • 自社のVerizon回線契約(法人・BYOD含む)の有無と範囲を棚卸ししますです。
    • Verizonアカウントチームへ公式照会し、VU#615987に対する是正方針・適用範囲・スケジュールの文書回答を依頼しますです。
    • 緊急通報の取り扱い(E911)に関する現状説明と、業務上のリスク・周知の要否についても見解を求めますです。
  • 音声・メッセージングの「安全ライン」を引き直す

    • 機微な会話は、エンドツーエンド暗号化の通話・メッセージアプリへ切り替える運用基準を定義します(役員・IR・M&A・重要インシデント対応など)です。
    • SMSに依存した本人確認を縮小します。FIDO2/WebAuthnやTOTP、プッシュ承認など、SMS非依存の多要素認証へ計画的に置き換えますです。
    • サプライヤや重要取引先にも同様の方針を伝え、連絡チャネルの合意形成を進めますです。
  • 代替と冗長化の設計

    • 業務継続の観点で、複数キャリア・固定網・衛星/無線IPなど、異経路の音声・メッセージ連絡手段を用意しますです。
    • 高リスク部門には、業務用E2E通話ライセンスやセキュアメッセージのアカウントを事前配布し、演習で使い慣れておきますです。
  • SOC/IR視点の監視・検知の工夫

    • 音声起点の詐欺・なりすまし(例: コールバック要求、振込依頼、MFA解除依頼)のプレイブックを更新し、発信者認証の強化(コールバックポリシー、多チャネル確認)を徹底しますです。
    • 重要なSMS通知(アラートや承認フロー)の代替配信経路(アプリ内通知、メールS/MIME、プッシュ)を整備し、SMS単独では意思決定を完結させない運用にしますです。
  • 技術検証(できる範囲での健全性確認)

    • ラボ環境で、VoLTE/IMS端末のデバッグログやベンダ提供のフィールドテストモードから、IMSセッション確立時にIPsec SAが交渉されているかの挙動を観察します(端末・ファームに依存するため一般化はできませんが、状況把握の一助になります)です。
    • Wi-Fi CallingやVoIPアプリなど自社が制御できるチャネルでは、TLS/SRTP/E2EEの有効化状態を監査し、設定のドリフトを防ぎますです。
  • コミュニケーション

    • 利用者向けに「携帯音声・SMSは秘匿性と完全性に限界がある」ことを正しく伝え、機微情報や承認フローでの使いどころ・使いどめを分かりやすく周知しますです。
    • 緊急時は「複数経路で連絡を試行する」ことを含む簡潔な行動指針を配布しますです。

今回の件は、キャリア網における“見えていない制御プレーン”が、いかに私たちの前提(安全・確実)を支えていたかを思い出させます。前提が揺らいだときに頼れるのは、組織としての通信設計と人の運用です。技術に寄り添いながらも、人が正しく使いこなせる仕組みを用意しておくことが、結果として最強のセキュリティになります。

参考情報

  • CERT/CC Vulnerability Note VU#615987: Verizon VoLTEにおけるIMS SIP信号のIPsec整合性保護の欠如(英語): https://kb.cert.org/vuls/id/615987

背景情報

  • i VoLTEは、音声通話をIPネットワーク上で行う技術であり、IMS(IP Multimedia Subsystem)を利用しています。SIP(Session Initiation Protocol)信号は、通話の設定や管理に使用されますが、これにIPsecによる整合性保護が必要です。
  • i CVE-2026-10629として識別されるこの脆弱性は、SIP信号が整合性保護なしで送信されることにより、攻撃者が通話をハイジャックしたり、緊急通報を誤ルーティングする可能性を生じさせます。