Verizon VoLTEのIMSでSIP整合性保護が欠落──経路上改ざんが成立し得る現実的リスクです

今日の深掘りポイント

• IMSのGmインタフェースでSIPがIPsecによる整合性保護なしに流れると、経路上攻撃者によるSIPヘッダやSDPの改ざんが成立し、通話ハイジャックやRTP転送先の書き換えが可能になります。
• 3GPPはUE–P‑CSCF間でのSIP保護にIPsec（ESP）を前提としてきた歴史があり、協調交渉はRFC 3329の仕組みで実装されます。これが運用上無効化・不履行になっているなら、設計の安全仮定が崩れます。
• 搾取には「経路上」の立場が必要で、無差別リスクは限定的ですが、標的型攻撃（フェムトセル/小型基地局・バックホール侵害・MVNO接続点・インサイダ）では実用的な攻撃面になります。
• 緊急通報（E911）等のSIP経路制御に関わるヘッダ改ざんは、誤ルーティングや優先制御の逸脱を招く恐れがあり、公共安全の観点で看過できない設計ギャップです。
• 企業側は「VoLTE＝安全」の前提を見直し、機微通話はE2E暗号化アプリへオフロード、社内のVoWiFi/ePDG経由の優先化、ハイリスク拠点でのセルラ露出低減など、運用面のフェイルセーフを今すぐ検討すべき局面です。

はじめに

CERT/CCのVU#615987は、VerizonのVoLTE（IMS）環境でSIP信号がIPsecの整合性保護なしで送信されている事象を指摘しています。SIPは通話確立・切断・SMS over IMSや緊急通報の制御に関わるため、メッセージの傍受・再生・改ざんが成立する状況は、秘匿性だけでなく安全性・公共性にも跳ね返ります。3GPPのIMSセキュリティはUE–P‑CSCF間のSIPをIPsec（ESP）で保護する前提で積み上がっており、この前提が満たされないと、上位アプリ層や運用での補強が必要になります。実運用での影響は「経路上の攻撃者」を前提としますが、企業や公共機関の高価値ターゲットに対しては現実的な攻撃ベクトルになります。

本件の優先度は、影響規模と実行可能性の積で評価すべきです。利用者母数は巨大で、発見は公知、技術障壁は「経路上を取ること」に依存します。ゆえに全社即断の停止判断ではなく、機微通話のオフロードやVoWiFi優先など実行しやすい抑止策を早期に打ち、キャリア側の是正を待つのが現実解になります。

参考: CERT/CC VU#615987

深掘り詳細

事実関係（プライマリソースに基づく整理）

• VU#615987は、VerizonのVoLTE環境においてIMS上のSIPがIPsecの整合性保護なく送られていることを報告しています。これによりSIPの傍受・再生・改ざんが可能になると記載しています。ベンダ状況としてVerizonは問題を認識しているものの、是正策は確認されていない旨が示されています（公開時点）です。CERT/CC VU#615987
• 3GPP TS 33.203は、IMSのUE–P‑CSCF間（Gmインタフェース）でSIPシグナリングのセキュリティを提供するために、IPsec ESP（トランスポートモード）を用いることを規定してきた歴史を持ちます。SIP側ではRFC 3329に基づくSecurity-Client/Server/Verifyヘッダで、UEとP‑CSCFが使用するセキュリティ機構（ipsec-3gpp等）を交渉します。ここで整合性保護を含むポリシが成立して初めて、後続のSIPメッセージ群が保護されます。3GPP TS 33.203、RFC 3329
• SIPの制御（REGISTER/INVITE/CANCEL/BYE、MESSAGE等）およびSDP（RTP経路の協議）は、保護がなければ平文であり、途中で改ざん可能です。SIP自体の基本はRFC 3261に定義され、TLSやS/MIMEなどの保護手段もありますが、IMSでは前述のIPsec形態が標準実装です。RFC 3261、3GPP TS 24.229（IMSコール制御仕様のアーカイブ）

編集部のインサイト（なぜ起きうるのか、どこが痛点か）

• 実装と運用の狭間での「暗黙の信頼」が温床です。無線アクセス（LTE/NR）のリンク層は暗号化・整合性を提供しますが、これはeNB/gNB終端で解かれ、EPC/5GC内部は別ドメインです。GmはUEから見ればエンドツーエンドに近い論理境界であり、そこでのIPsecが欠落すると、キャリア網の内部、フェムトセル・小型基地局のバックホール、MVNO相互接続点など、複数の「経路上」箇所でSIPが脆弱になります。アクセス層の暗号だけでは、アプリ層制御の完全性を担保できない構造です。
• 単なる「傍受」よりも「改ざん」が重大です。SDPのm=行/c=行やa=rtcpなどの書き換えでRTP/RTCPの経路を第三者に向ける、Request-URI/Route/Pathの改変で終端や経路を逸らす、P‑Preferred‑IdentityやFrom/Contactで表示アイデンティティや折返し先を騙る等、影響は通話盗聴・成りすまし・課金/振る舞いの撹乱に及びます。IMS AKAでREGISTERは守られても、その後の対話メッセージ群が保護されなければ防げない領域が残ります。
• 緊急通報への波及は「リスク評価上の重み」が異なります。3GPPのIMS緊急セッション仕様（例：TS 24.229/TS 23.167のフロー群）では、端末の発呼意図や優先制御をネットワークが適切に解釈・ルーティングする前提があります。ヘッダやルーティング情報の改ざんにより、優先度・経路・特別処理が崩れる仮説は技術的には筋が通っており、公共安全の観点でゼロリスクを主張できません。ここは検証事実が増えるほど規制当局の関心事になりやすい領域です（本稿では仮説として提示します）。
• メトリクス観点では、影響の深さに比べ「攻撃実行の前提条件（経路上の獲得）」が重く、直近での無差別大規模被害は起きにくい一方で、標的型では十分に現実的です。ゆえに企業の優先課題は「全停止」ではなく、「機微な通話をVoLTEに載せない」というトリアージと、早期の運用ディフェンス強化に置くのが費用対効果に合います。

脅威シナリオと影響

• シナリオA（メディア誘導型）
  • 仮説: 経路上攻撃者がINVITE/200 OKのSDPを改ざんし、RTP/RTCPの宛先を自ホストに向ける。SRTPが未使用・不厳格な場合は盗聴、SRTPでも鍵供給（SDES等）を改ざんできれば影響拡大の恐れがあります。
  • 影響: 音声盗聴・通話品質劣化・メディアインジェクション。
  • ATT&CK: T1557（Adversary-in-the-Middle）、T1040（Network Sniffing）、T1565.002（Transmitted Data Manipulation）に相当します。
• シナリオB（経路・識別撹乱型）
  • 仮説: Request-URI/Route/Path/ContactやP‑Preferred‑Identityを改ざんし、折返し先の誘導、偽の発信者表示、SIP MESSAGE（SMS over IMS）の本文改変/差し替えを行います。
  • 影響: 詐欺・なりすまし・業務継続性への妨害（誤接続・誤通知）。
  • ATT&CK: T1565.002（Transmitted Data Manipulation）、T1557（AitM）。
• シナリオC（緊急通報の挙動撹乱）
  • 仮説: 緊急通報関連の識別（例：特定のヘッダ/Route属性）を改ざんし、通常経路へ落とし込む、ないし誤ルーティングを引き起こします。
  • 影響: 公共安全上の重大インシデントリスク。規制・監督当局対応が必要になる可能性があります。
  • ATT&CK: T1565.002（Transmitted Data Manipulation）、T1557（AitM）。
    注: 緊急通報の具体ヘッダ/処理はキャリア・装置実装差が大きく、本ポイントは技術仮説として記します。標準仕様としてはIMS緊急セッション処理が定義されていますが、実装差分の実地検証が必要です。
• シナリオD（登録・セッション管理の撹乱）
  • 仮説: REGISTER/INVITE/CANCEL/BYEの再生・挿入・順序撹乱により、セッション切断や誤応答を誘発します。AKAでREGISTERは耐性があるとしても、他のダイアログは保護欠如で脆弱です。
  • 影響: 通話切断・SLA逸脱・業務中断。
  • ATT&CK: T1557（AitM）、T1565.002（Transmitted Data Manipulation）、T1498（Network Denial of Service）に準ずる効果。

技術的成立性は「経路上」を要件にします。現実的な経路上の立場としては、侵害された小型基地局/フェムトセルや、そのIPバックホール、MVNO相互接続点、キャリア内部の不正アクセスなどが挙げられます。無線リンク層の暗号はeNB/gNB終端で解かれるため、その先のSIPが保護されていなければ、上記の改ざんが理論上成立します。

セキュリティ担当者のアクション

• 機微通話のオフロード
  • 取締役会・M&A・災害対策等の高機密コミュニケーションは、VoLTEではなくE2E暗号化（例：現代的メッセージング/UCのE2EE通話）へ移管します。音声経路の分類と運用指針を見直します。
• VoWiFiの優先利用（信頼できるネットワーク下）
  • 企業拠点や自宅など信頼されたWi‑Fi環境ではVoWiFiを優先します。一般的にVoWiFiは端末–ePDG間がIKEv2/IPsecでトンネリングされ、Gm到達前の経路が強固になります（キャリア実装依存です）。
• 端末ポリシとユーザ教育
  • モバイルMDMで、社給端末のVoLTE/VoWiFi挙動（利用優先度、ローミング時の挙動）をポリシ化します。管理職・要人には「重要通話はE2Eアプリ」「SMS over IMSでの機密共有禁止」などの簡潔なレッドルールを徹底します。
• 社外接続面の監視とゾーニング
  • 本社・研究拠点周辺における不審基地局（偽装セル）検知の常時モニタリングを検討します。フェムトセルやセルラ・ゲートウェイ装置の資産棚卸と脆弱性管理も併せて実施します。
• ベンダ連携と是正要求
  • Verizonの担当営業・技術窓口に対し、IMSのSIP整合性保護（RFC 3329での交渉とIPsec ESP適用）に関する現状/是正計画/タイムライン/端末側キャリア設定の配信計画を文書で確認・追跡します。調達要件に「UE–P‑CSCF間SIPの整合性保護必須」を明記します。
• インシデント・テーブルトップ演習
  • 「通話・SMSが改ざんされうる」という前提で、緊急連絡網・BCPのフォールバック（E2E通話、固定回線、衛星電話等）を点検します。監査証跡の強化（通話記録の多系統化）も検討します。
• 技術検証（安全な枠内で）
  • 自社評価回線で、端末とP‑CSCF間にIPsec SA（ESP）が成立しているかをロギング・端末開発者オプションのIMSログ等で確認します。具体的な攻撃再現は法令・規約順守の下、専門ベンダとペネトレーションテスト契約に基づき実施します。

参考情報

• CERT/CC: VU#615987 Verizon VoLTEにおけるIMS SIP信号のIPsec整合性保護の欠如
  https://kb.cert.org/vuls/id/615987
• 3GPP TS 33.203 Security aspects of IP Multimedia Subsystem (IMS)
  https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspx?specificationId=841
• IETF RFC 3329 Security Mechanism Agreement for SIP
  https://www.rfc-editor.org/rfc/rfc3329
• IETF RFC 3261 SIP: Session Initiation Protocol
  https://www.rfc-editor.org/rfc/rfc3261
• 3GPP TS 24.229 IP multimedia call control protocol based on SIP
  https://www.3gpp.org/ftp/Specs/archive/24_series/24.229/

本件は、キャリア網の深部で長年成立してきた「前提の堅牢さ」に疑義を突きつける出来事です。攻撃の実務的ハードルは決して低くありませんが、守るべきコミュニケーションの価値は、しばしば攻撃コストを上回ります。設計の理想と運用の現実の隙間を、私たち利用者側の運用設計で埋める──それが今できる、賢く現実的な一手だと考えます。