グローバル開発コミュニティのギットハブ(GitHub)で、LG U+加入者がボイスフィッシングおよびスミッシングのリスクにさらされているとの主張が提起された。LG U+が国際加入者識別番号(IMSI)に電話番号を連動させていたことが判明し、13日からSIMカード交換サービスを実施している。
15日、ある匿名の利用者がギットハブに、偽基地局として機能するIMSIキャッチャーを活用してLG U+加入者のIMSIを収集し、これを通じて電話番号を突き止める過程を収めたデモ動画を掲載した。
この利用者は「韓国の主要通信社の一つであるLG U+に関連する深刻な安全保障上の状況に光を当てたい」とし、「現在『セキュリティ問題』により全利用者に対してSIMカードの大量交換を提供しているが、実質的な説明を提供していない。その結果、大半の利用者は自分がどれほど脆弱なのか全く分かっていない」と明らかにした。
この人物は、LG U+がIMSIを電話番号と同一に設定した結果、簡易なIMSIキャッチャーを使えばハッカーが近隣のすべての端末のIMSI(電話番号)を収集できると明らかにした。LG U+加入者は標的型のボイスフィッシング・スミッシングにさらされ、ハッカーが特定人物の電話番号を把握している場合は位置まで追跡できるということだ。
この人物は「LG U+は曖昧な企業用語に隠れず、顧客に透明な説明を提供すべきだ」とし、「韓国政府が介入してLG U+に責任を問うべきだ」と明らかにした。
これに対してLG U+は「当該デモ動画はIMSIキャッチャーを活用してIMSI値を確保し、その値の一部が携帯電話番号と同一であることを確認するだけであり、確保したIMSI値によってどのようなリスクにさらされ得るかを示す動画ではない」と明らかにした。
続けて「IMSIキャッチャーを活用して携帯電話のIMSI値を確保することは特定の通信社に関係なく可能であり、LG U+の場合はIMSI値に携帯電話番号が使用されていたというだけで、他の情報が流出したわけではないため、相対的にリスクは低い」と説明した。