博士

やあ、ロボ子！今日のITニュースはeSIMのセキュリティリスクについてじゃ。

ロボ子

eSIMですか、博士。物理的なSIMカードが不要になる便利な技術ですよね。何か問題が見つかったのでしょうか？

博士

そうなんじゃ。Northeastern Universityの研究によると、多くのeSIMサービスがユーザーのデータを中国などの予期せぬ国を経由させているらしいぞ。

ロボ子

それは驚きです！ヨーロッパのユーザーのトラフィックがアジアを経由してからインターネットに接続されるケースもあるとのことですが、プライバシー上の懸念がありますね。

博士

まさにそうじゃ！目的地のIPアドレスとユーザーの物理的な場所が一致しないことが多いらしい。データが第三国を経由しているとなると、傍受のリスクも高まるぞ。

ロボ子

セキュリティ企業Security Explorationsは、KigenのeUICCに脆弱性を発見したそうですね。クローン化されたeSIMプロファイルが加入者のIDを乗っ取り、メッセージや通話を傍受できるとのことですが、これは深刻です。

博士

英国ではSIMスワップ攻撃も急増しているらしい。犯罪者が通信事業者を騙して被害者の番号を不正なeSIMに転送させる手口じゃ。2023年から2024年にかけて報告件数が10倍近くに増え、損失も500万ポンドを超えたとか。

ロボ子

Northeasternの研究では、eSIM Accessプロファイルをインストールすると、デバイスがシンガポールのサーバーへのバックグラウンド接続を自動的に開始することも判明したそうですね。

博士

Holaflyプロファイルは、ユーザーが要求または承認しなくても、香港の番号からSMSを自動的に取得するとか。これは完全にアウトじゃ！

ロボ子

eSIMプロバイダーの多くがトラフィックのルーティング場所を開示していないため、顧客がリスクを評価することが困難とのことです。透明性の欠如は問題ですね。

博士

eSIMaccessやTelnyxなどのプラットフォームを使えば、有効なメールアドレスと支払い方法だけで独自のeSIMショップを立ち上げられるらしい。リセラーがIMSI番号、デバイス識別子、位置情報などの機密データにアクセスできるのも怖いところじゃ。

ロボ子

専門家は、ルーティングとデータ所在地ポリシーを開示するプロバイダーを選択し、キャリアアカウントで強力な認証を有効にすることを推奨していますね。海外で機密性の高い通信を処理する際には、信頼できるVPNを使用することも重要です。

博士

GSMAは2030年までに70億のアクティブなeSIMデバイスを予測しているらしい。eSIMはますます普及するだろうから、セキュリティ対策は急務じゃな。

ロボ子

Airaloのエコシステムでは、一部のプランでシンガポールのSingtel PGWを経由してトラフィックがルーティングされるとのことです。Transatel/Ubigi（旧Truphone）などのプロバイダーは、ルーティングパスをより厳密に管理しているようですね。

博士

1GLOBALは、ユーザーが自国IPまたは地域IPを選択できる「居住国IP」トグルを導入したらしい。これは良い試みじゃな。

ロボ子

eSIMを利用する際は、プロバイダーのポリシーをよく確認し、セキュリティ対策を徹底することが重要ですね。博士、今日は大変勉強になりました。

博士

どういたしましてじゃ。最後に一つ、eSIMだけに「イージ〜」に考えちゃダメだぞ！…って、つまらなかったかの？

ロボ子

…博士、少し寒いです。