米国家安全保障局（NSA）と英政府通信本部（GCHQ）が、SIMカードメーカー最大手のゲマルト（Gemalto）の社内ネットワークに侵入し、世界各国で使われているSIMカードの暗号キーを盗み出していたとする報道に関し、ゲマルトが進めていた社内調査の結果が欧州時間25日に正式に発表された。同社のネットワークにハッキングがあったことは確認されたが、同社製SIMカードの暗号化キーなど重要な情報が盗み出された形跡は見つからなかったという。

GigaOMなどによると、ゲマルトでは2010年から2011年にかけて何度か社内ネットワークへの侵入行為があったことが確認され、これが先にThe Intereceptで報じられていたNSAおよびGCHQによるハッキングである可能性があるとしつつ、SIMカードの暗号化キーや顧客情報などの重要情報は侵入の被害にあったのとは別のネットワークに保存されていたことから、これらの重要情報が盗み出された可能性はないと述べたという。またWSJでは、オリビエ・ピオウ（Olivier Piou）ゲマルトCEOの「おそらくネットワーク侵入はあったと思われるが、われわれの結論を法的に証明することは難しく、法的手段に訴えることにはならない」とする発言が引用されている。

社内ネットワークへの侵入について、ゲマルトは同社従業員と顧客との通信が傍受されていた可能性はあるとしつつ、あったとしてもテストなどごく少数の例外的ケースに限られるとしている。そのほか、3G・4G用のSIMについては、新たな技術により携帯通信事業者に暗号解除キーを送信する必要がないため傍受の可能性は低く、もしあるとすれば2GのSIMに限られるとしている。ただし、WSJでは「盗み出されたデータと諜報機関が入手した別のコードを組み合わせて、3G・4G通信の解読に必要とされる暗号キーをつくることは可能」などとするセキュリティ専門家の見解も紹介されている。

【参照情報】
・Gemalto downplays impact of NSA and GCHQ hacks on its SIM cards - GigaOM
・Gemalto Says Hack Didn't Result in Massive Theft of SIM Keys - WSJ
・Gemalto Says U.S., U.K. Spies Probably Attacked Its Network - Bloomberg