クローン携帯作成のための ROM 書き換えコマンドとプログラムのソースコード

11月23日、読売新聞は、記事『識別番号同じ「クローン携帯」不正使用をドコモ初確認』 (http://www.yomiuri.co.jp/national/news/20061123it01.htm) を報道した。

NTTドコモの第3世代携帯電話「FOMA(フォーマ)」から抜き出したICカードを、別の携帯に差し込んで「クローン携帯」を作る手口で、中国など海外から不正使用したケースが少なくとも6件あったことがわかった。
ドコモはこれまで、「クローン携帯の製造は技術的に不可能」としてきたが、社内調査で存在が確認された。

これについて、同日、NTT ドコモは急いで 報道発表『読売新聞「クローン携帯初確認」との報道について』 (http://www.nttdocomo.co.jp/info/notice/page/061123_00_m.html) を発表した。

いわゆるクローン携帯の製造は、技術的に不可能との認識は従来と変わるものではありません。
お客様にご心配をおかけした事をお詫びするとともに、本件に関わる事実をご理解いただくようお願い申し上げます。


NTT ドコモその他の携帯電話事業者は、クローン携帯は技術的に作成不可能であるというコメントを以前発表しており、今回もその以前発表したコメントに沿う形のコメントを発表したものだと思われる。


クローン携帯については、数年前もいきなりニュースで話題になったりしたが、作成が可能かどうかということが曖昧なままいつのまにかその話題が消滅してしまっていたと思う。



自分は、コンピュータのセキュリティに関係する仕事をやっているが、携帯電話の中身もコンピュータであって、専用チップに焼きこんだソフトウェアを使っているので解析がコンピュータ用ソフトと比較して困難であるという点を除けば、比較的性質の似ているものであるので、こういう携帯電話の中にあるコンピュータに関する話題については、深い興味を持っている。


一般のコンピュータユーザーは、近年、セキュリティについて関心を持ったり注意を払うようになってきたりしていると思うが、なぜか携帯電話のセキュリティの仕組みについて同様に関心を持っている人は少ないのではないだろうか。携帯電話はコンピュータと違って 100% 安全だ と無意識のうちに信頼してしまって、その携帯電話のセキュリティの仕組みについて詳しく調べようとする人が少ないのは、とても残念なことである。


ちなみに、海外では携帯電話の解析などを研究する人がかなりの数存在する。海外の研究者が大学での研究で GSM 携帯の通信を解読するというのに成功したらしいという記事もある。しかし日本にはほとんどそういうような携帯電話に関する研究をする人はいないのではないだろうか。


日本にももっと携帯電話のセキュリティの仕組みについて関心を持つ人が増え、よって携帯電話に関係する技術のセキュリティが全体的に向上することを願いつつ、久しぶりに携帯電話に関する記事を書いてみる。


クローン携帯とは

一般に、クローン携帯とは、ある携帯電話の内部のメモリ (EEPROM) に書き込まれている電話番号や加入者識別用の ID などをそのまま別の携帯電話のメモリにコピーし、2 台の携帯電話が理論的に同一時点で同一の電話番号を持つ状態になったとき、その 2 台目の携帯のことを言う。


携帯電話には外部制御端子 (シリアル端子など) があり、たとえば NTT ドコモであれば、ドコモショップにある ALADIN (顧客情報管理端末) から生えているケーブルを携帯電話のシリアル端子に指し込み、特殊なコマンドを用いて、電話番号を携帯電話に書き込んだり、読み出したりすることができるようになっている。


しかし、その制御に使用する特殊なコマンド類は公開されていないので、それを用いてクローン携帯を作ることは難しいのではないか というのがこれまでの一般的な見解だったのではないだろうか。


ラジオライフ 1999年8月号

ところで、ラジオライフという有名な雑誌がある。この「1999年8月号」 (http://www.radiolife.com/RL-Online/articles/RL-list1999/rl9908.html) の目次には、
EEPROM、ESNコードの書き換え&全プログラムリスト掲載
と書かれている。


そこで、早速ラジオライフ 1999年8月号 を入手し、当該ページを確認したところ、以下のような情報が書かれていた。
以下では一部本文から引用している。



東芝mova 端末 TS206

本文中では、NTT ドコモの mova 対応の携帯電話端末である「TS206」を実験に使ったと書かれている。
この記事によると、実際に 2 台の携帯電話を用意し (1 台は契約したもの、もう 1 台は白ロム)、クローン携帯を作成してみたところ、実際に動作したと書かれており、その具体的なレポートも書かれている。
具体的なレポート内容は以下のようなものであった。

  • 検証その 1: 同じ基地局で発着信する
    • 2 台とも電源を入れて、一般電話から携帯の電話番号にかけると、2 台とも着信した。さらに電話を受けると三者通話ができた。
  • 検証その 2: 違う基地局で発着信する
    • 2km くらい 2 台の端末の間に距離を置いて使ってみた。一般回線から電話をかけてみると、どちらか一方だけに着信した (どちらに着信するかは規則性がない)。一方が電話中でも、もう一方がほかのところに電話することができた。
  • 検証その 3: オリジナルを解約する
    • クローン端末のほうも使用できなくなってしまった。


携帯電話の EEPROM を操作するためのシリアル通信コマンド

この記事は結構奥が深く、実際に mova 端末にシリアル通信ケーブルを接続し、600bps で通信を行う場合の通信プロトコルの内容が、以下のように詳しく書かれている。


なお以下の部分は本文からの引用だが、そのまま転載してしまうのはセキュリティ上問題があるのと、本文の商品価値が下がってしまうので、コマンド部分を伏せて引用する。



上記によると、EEPROM を読み書きするモードに入るためには、3 バイトのコマンドを送信し、3 バイトのコマンドを受信した後、2 バイトのコマンドを送信してから、34 バイトずつ EEPROM を読み出すのが良いということである。


しかも、この記事はさらに奥が深く、上記のコマンドを送受信してクローン携帯を実際に作成するための試作の Visual Basic 用のプログラムのソースコード全リストも掲載されている。


プログラム本体もやはりここにそのまま掲載するのはまずいので、全体像だけわからないように引用する。



さらにこのプログラムをコンパイルした結果の画面のスクリーンショットと使い方の解説まで掲載されている。



クローン携帯の作成はプログラムさえ作れば可能なのではないか

上記の記事は 1999 年ごろの NTT ドコモの mova 端末を対象としたものであり、このプロトコルと同様のプロトコルが現在の携帯電話で使用されているかどうかは不明であるが、少なくとも現在の mova 端末は EEPROM の読み書きをドコモショップのコンピュータ端末からシリアルケーブルで行っているので、プログラムさえあれば EEPROM の読み書きは可能であるのではないかと思われる。


また、現在の普及している携帯電話では利用できないとしても、上記の TS206 という端末では利用できるということであれば、それは大きなセキュリティ上の問題となる。現状で TS206 を利用しているユーザーは 0 人という訳はなかろう (使っている人はいるだろう) し、今後も、TS206 を中古で入手してドコモショップで機種変更により電話番号を書き込んでもらえば利用できる。その状態でクローン携帯を誰かに作成されてしまいそれを悪用されるという危険性は存在する。


もちろん最近の記事を見ていると、通信キャリアは、携帯電話の交換機などのソフトウェアを改良して、2 台の同一 ID を持つ携帯電話が同時に存在すると自動的にその ID の使用を停止させることによりセキュリティを強化しクローン携帯を利用できなくするようにしたらしい というようなことが書かれていることがあるのだが、それは クローン携帯の利用が困難になった ことを示すだけであって、クローン携帯の作成が技術的に不可能である ことを示すことにはならない。また、これが本当だとしても、本物の端末の電源を切っている間に、クローンの側の携帯が利用されてしまう可能性はあり、それをシステム上検出するのは困難なのではないか。


とすると、やはり、「クローン携帯の作成は技術的に不可能」という見解を信用することは困難となってしまう。


そもそも、私が 2005年3月 に筑波大学の授業みたいなものの一環で NTT ドコモ YRP センター見学会 (情報学類の学生が数十人参加していた) に参加したとき (http://d.hatena.ne.jp/softether/20050311) に、最後の質問会みたいなところで、見学していた学生とドコモの社員との間で、

  • 学生:ドコモ本社は、昨年度のクローン携帯騒ぎの際、報道機関に対し「クローン携帯は技術的に絶対に不可能である」と主張しているようだが、技術的に絶対に不可能ということは無いのでは?
    • ドコモ社員:<問題がありそうなので伏字>
  • 学生:現在のmova端末では、確かにセキュリティは高められているかも知れないが、mova の初期の端末(数年前のもの)のセキュリティは弱く、クローンのための書き換えが容易だったりしないか?
    • ドコモ社員:<問題がありそうなので伏字>
  • 学生:では、携帯電話端末の識別符号の書き換えは可能なのか?
    • ドコモ社員:<問題がありそうなので伏字>
  • 学生:ということは、携帯電話のセキュリティは実はそれほど高くないが、それを試す人が少ないのでセキュリティが保たれているというのか?
    • ドコモ社員:<問題がありそうなので伏字>


というようなやりとり (詳細は http://d.hatena.ne.jp/softether/20050311 を参照) があったので、クローン携帯は不可能」 というのを信じることはますますできなくなってしまったという経緯がある。


セキュリティ技術に関わる人間としては、通信キャリアが「不可能」とまで言い切るのであれば、その根拠もしくはそれが本当かどうかということ を是非、詳しく、納得できるまで聞きたいと思う。