偽基地局はどのような仕組みで動くのか？　詐欺被害にあわないためには

　2025年4月に入って、SNS上に東京や大阪で「偽基地局」が使われているのではないかという投稿があり、総務省から「不法無線局の疑いのある無線機器」に対する注意喚起がありました。偽基地局の問題は、以前から海外であり日本でも利用が疑われたことがありましたが、今回都心で実際にそれらしいものが目撃されて注目を集めています。

　少なくとも日本では、偽基地局は不正にスマホからの信号情報を取得したり、巧みにスマホとやりとりして個人情報の窃取を試みる違法行為に利用されているようです。今回は、偽基地局とは何か、どのように私達のスマホとやりとりするのか、どのようにすれば被害にあわないようにできるのかなど考えてみましょう。

偽基地局とは

　私達のスマホは、図1に示すようにビルの屋上や鉄塔に据え付けられたアンテナを通してモバイル通信事業者の基地局と無線でやりとりします。基地局の先には通信接続や通信経路のコントロール、スマホの認証などを行うコアネットワークがあります。さらに、その先にインターネットがありさまざまなアプリを処理するサーバーにつながっています。

　偽基地局というのは、文字通り本来のモバイル通信事業者が運用する基地局の動作をまねて、無線でスマホからの信号を受けたり、スマホへ信号を送ることができる機器です。偽基地局には機能別にいくつかの種類があり、用途・目的に応じて使い分けられています。

　偽基地局の目的のひとつは、スマホのユーザーに割り当てられたモバイル加入者識別番号「IMSI」（International Mobile Subscriber Identity）を取得し、IMSIに対応する加入者が特定できれば、その人が特定のエリアに存在することを突き止めたり、その人の移動軌跡を取得することです。「IMSIキャッチャー」と呼ばれる偽基地局の主な役割は、このIMSIの取得にあります。

　スマホのユーザーと直接、SMSをやりとりする偽基地局もあります。SMSのやりとりにより、クレジットカード情報の窃取を試みたり、詐欺などを行うために特定のWebサイトに誘導するという目的に利用されます。最近日本で出没しているのは、主にこの「SMS型偽基地局」と考えられます。

　ここで重要な点は、私達が利用しているスマホの多くは機能的には旧世代の2Gや3Gもサポートしていることです。3Gは日本でも2026年3月までNTTドコモが運用しますが、世界にはまだ2Gや3Gが使われている国や地域がたくさんあり、スマホがそのようなところにローミングしても使えるようになっています。偽基地局はそれを巧みに利用しています。

　偽基地局は、必ずしも犯罪や不正行為のために使用するためだけではなく、海外では政府当局や法執行機関が犯罪捜査や防犯のために使用する場合があり、一定条件下ではその使用が許容されています。ただ、免許を受けずに一定以上の強い電波を発射する場合には日本だと電波法に抵触するなど、一般に偽基地局の使用は違法性が非常に高いものです。

モバイル通信の基本的な流れ

　偽基地局の仕組みを理解するために、まず図2を参照しながらスマホでモバイル通信を始める際の基本的な流れを追ってみましょう。

　私達の周りでは無線基地局が「報知チャネル」という無線チャネルで常時、通信事業者の識別番号や通信に使える無線周波数帯や帯域幅などのシステム情報を報知しています。スマホでこの電波を受けると、どの通信事業者がどのような通信をサポートしているかが分かります。

　スマホで、自分が接続できる事業者の識別番号及び対応可能な通信機能のシステム情報が含まれた報知信号が受かると、当該基地局を通してモバイルネットワークへ「アタッチ」（Attach）を要求します。アタッチというのは、実際の通信に先立ちネットワークにスマホの存在を認知させることです。

　アタッチの要求には、加入者を識別するための情報としてIMSIまたはIMSIの代替として割り当てられた一時的番号（後述）が含まれます。

　アタッチの要求を受けると、ネットワークとスマホの間で認証を行います。認証というのは、スマホ（ユーザー）がネットワークへのアクセスを要求した際に、そのユーザーが正当な加入者であることをネットワーク側で確認することです。（後述のように、3G以降の世代ではスマホもネットワークを認証する双方向の認証が行われています）

　認証が終わると、スマホの位置登録を行います。位置登録というのは、モバイルネットワークとして地理的に区切った地表のうちのどのエリアにスマホが在圏するかを記録することです。位置登録により、スマホへの通話の着信やメッセージの配信が可能となります。その後、実際の通信を始める前にさまざまな通信制御用の信号を送受信するための信号チャネル、そして実際の音声やデータを送るための通信チャネルを設定します。

　モバイル通信は1Gから5Gまで約10年ごとに進化してきていますが2G以降、アタッチ（5Gでは登録：Registration）、認証、位置登録、実際の音声・データ通信という流れは共通しています。そうした中で、世代ごとにセキュリティ面での堅牢性がより大きくなり、従って偽基地局実現のハードルは高まっています。逆に、特に2Gは脆弱性があり偽基地局がある程度、容易に実現できます。

　ここで、2Gというのは日本や韓国を除く世界各国で導入されてきた「GSM」（Global System for Mobile Communications）を指します。GSMは欧州やアフリカなど多くの国でまだ稼働中であり、世界的には2030年代初頭までは商用ネットワークが残存すると想定されます。また、本文で3Gとは「W-CDMA」を指し、上述のように日本ではソフトバンクは停波しましたがNTTドコモが運用しており、世界的にはまだ多くの国で稼働しています。

IMSIキャッチャーの仕組み（パッシブタイプ）

　IMSIキャッチャーには、電波を発さず受けるだけの「パッシブタイプ」と自ら電波を発する「アクティブタイプ」があります。まず、パッシブタイプのIMSIキャッチャーを見てみましょう。

　パッシブタイプのIMSIキャッチャーは、スマホなどの端末と基地局の間の無線信号をモニターしてIMSIを取得します。2G（GSM）や3G（W-CDMA）では、初めてスマホの電源をオンにしたときや海外でローミングした際などのスマホからのアタッチの要求には、IMSIが含まれます。パッシブタイプのIMSIキャッチャーはこれを傍受するというわけです。

　個人情報であるIMSIは、できるだけ無線上で送ることを避けるため、この「最初の」アタッチの際にモバイルネットワークはスマホにIMSIの代替となる一時的な番号を割当て、2回目以降のアタッチではこの代替番号を無線上で利用します。この番号はネットワーク内だけで利用する番号で、傍受されても特定の加入者との対応付けはできません。

　2Gや3Gではこれを「TMSI」（Temporary Mobile Subscriber Identity）と呼んでおり、このIDは日本だとたとえば関東地方とか近畿地方といった程度の広域エリア内で一意の番号です。ユーザーが移動して、別の場所でアタッチする際にこの広域エリア内であれば、TMSIをアタッチ要求に入れるとネットワークとしてどのユーザーか識別できます。そのため、IMSIを無線上で送る頻度を減らすことが可能です。ただし、その広域エリア外で再アタッチする場合やローミング時にはIMSIを送ることが要求されます。

　4Gではスマホが初めてアタッチしたとき、IMSIに代わる番号として「GUTI」（Globally Unique Temporary Identity）を割り当てます。GUTIはその名称の通り、世界全体で一意の番号です。なので、そのスマホが一度アタッチした後は、ローミング先も含めてどのネットワークからの再アタッチにおいても基本GUTIを用いIMSIを送ることはありません。

　GUTIはスマホ加入者が契約している通信事業者のホームネットワークで管理しており、ローミング先のネットワークでスマホからのアタッチの要求でGUTIを受けると、GUTIの中に含まれたホームネットワークIDに基づき、ホームネットワークにIMSIを問い合わせます。認証プロセスなど、それ以降のネットワーク内及びネットワーク間でのやりとりではスマホの識別にIMSIを用います。

　5Gは、4Gネットワークの基盤上に構築される初期の5Gノン・スタンドアローン（NSA）と成熟期の5Gスタンドアローン（SA）がありますが、NSAでは4Gと同じGUTIが用いられます。5G SAでは、そもそも最初のアタッチからIMSIは送らず暗号化され堅牢性の高い「SUCI」（Subscription Concealed Identity）というIDが用いられ無線上でIMSIが送られることはありません。

　パッシブタイプのIMSIキャッチャーは2Gや3Gではある程度有効ですが、4Gでは利用できるチャンスは非常に限定的、5G SAでは無効ということになります。ただ、世界的にモバイル通信の主流は4Gや5Gになっていますが、未だ2Gや3Gが利用されている国や地域も多くあるのでそれらの国・地域ではこのタイプのIMSIキャッチャーが利用できる可能性があります。

IMSIキャッチャーの仕組み（アクティブタイプ）

　アクティブタイプのIMSIキャッチャーは、モバイル通信事業者の基地局を装いスマホにアタッチを試みるように誘導します。このタイプのIMSIキャッチャーのほとんどは低コストで開発可能で有用性の高い2Gの基地局を模擬したものですが、3Gや4Gの基地局を模擬したものもあります。

　さて、未接続状態のとき、スマホは周辺の無線信号をモニターして接続可能な基地局からの報知信号を受けると、当該基地局を通してモバイルネットワークへのアタッチを試みます。アクティブタイプのIMSIキャッチャーは、報知チャネルを送ってスマホにアタッチさせようとしますが、周りにモバイル通信事業者の正規の基地局があると、スマホはそちらに接続を試みるか、あるいは既に接続されていると想定されます。

　そこで、図3に示すようにIMSIキャッチャーは正規の基地局からの無線信号がスマホで受けられないようにするために、これらの基地局とスマホの間で利用している無線帯域に対して妨害波を発します。強い妨害波により、IMSIキャッチャー周辺のスマホでは正規の基地局からの電波を受けられず圏外となります。

　正規の基地局の圏外となったスマホに、IMSIキャッチャーは無線報知信号を発してアタッチを誘導します。利用する周波数は通常の4Gや5Gで使っている周波数帯と重複するケースが多いですが、強い電波を発することで周辺のスマホは正規の基地局からの信号は捉えることができず、偽基地局からの電波を正規のものと誤認してしまいます。

　IMSIキャッチャーからの報知信号を受けて、その中に含まれている通信事業者番号が海外のローミング先も含めてスマホで接続が許容されている事業者のものであり、周波数や帯域幅などその他の接続条件も適切であればスマホはアタッチの要求（実際の2Gや3GではLocation Update Request、4GではAttach Request）をIMSIキャッチャーに送ります。

　このアタッチの要求にはIMSIが含まれるか、スマホがTMSIやGUTIを保持していればそのTMSI/GUTIが含まれます。ここでTMSI/GUTIが含まれていれば、IMSIキャッチャーはIdentity Request（IMSI）というメッセージをスマホに送ることで、あらためてIMSIの送付を要求することができます。

　この要求は、ネットワーク側でTMSI/GUTIを解釈できない場合（有効期限切れなど）に利用するための措置として標準に規定されています。

　いずれにしても、スマホは接続できる基地局を探してできるだけ接続を試みます。一般的にはより高い世代の方式から優先して接続を試みますが、5Gや4Gで接続できなければ3Gや2Gを試みます。アクティブタイプのIMSIキャッチャーは、この動作を逆手に取ってスマホのIMSIを獲得するわけです。

SMS型偽基地局の仕組み（認証前SMS）

　SMS型偽基地局は、アクティブタイプのIMSIキャッチャーと同じようにスマホがアタッチを要求するように誘導します。

　2Gや3Gの基地局では、アタッチのプロセスの中でIMSIやTMSIが取得できれば、認証が完了する前でもSMSをスマホに送ることができます。これは、地震や津波などの緊急通報やネットワーク側の初期通知をなるだけ早くユーザーに知らせるという意図もあって設けられた仕組みです。

　これは、ネットワークからスマホへの一方向のSMSですが、内容は自由に設定できるので偽基地局から特定のWebサイトのURLへのアクセスを誘導するメッセージを送ることもできます。認証前にスマホからネットワークにSMSを送ることはできません。

　スマホがそのSMSを受けて、そのまま偽基地局を通してWebサイトにアクセスすることはできませんが、後ほど正規の基地局に接続された際、スマホからそのサイトにアクセスさせることで詐欺行為などに利用される恐れがあります。

　4G以降では、地震や津波などの緊急速報については「ETWS」（Earthquake and Tsunami Warning System）など別の仕組みが設けられたこともあり、認証前にSMSを送らないようにしました。なので、認証前のSMSが利用できるのは2Gや3Gの偽基地局に限定されます。

モバイルネットワークにおける認証の仕組み

　ここで、モバイルネットワークにおける認証の仕組みを見ておきましょう。

　図4にGSMにおける認証の流れを示します。認証には、SIM（カード）に格納されたモバイル通信加入者に固有の共通鍵である「Ki」と呼ばれる数値列を用います。Kiは加入者識別番号であるIMSIと1対1対応しています。Kiは同じものがスマホに搭載されたSIMとネットワーク内データベースのセキュアな場所にそれぞれ格納されています。

　また、認証には認証アルゴリズムと呼ばれる計算式を用います。この計算式は、GSMの場合には「A3」と呼ばれます。

　GSMネットワークによるスマホ加入者の認証は、図4に示すとおり次のような順序で行われます。

　この認証の流れにおいて、ネットワークが信頼できる場合には正しくスマホの認証ができることになり、その後の正当な位置登録のプロセスに進むことになります。一方で、偽基地局において4、5でSRES2を計算せずに6で認証成功とウソの判定をしても位置登録のプロセスに進むことができます。

　GSMの仕様が作成されたのは1980年代初頭からで、当時は偽基地局などの出現は想定されず、ネットワークは常に信頼できるというのが前提だったわけです。その結果、GSMの認証プロセスに脆弱性が生じてしまいました。

　しかし、3G以降では偽基地局の可能性が認識され、端末側だけではなくネットワーク側の不正利用リスクも予防するために基地局の認証も標準に盛り込まれました。この仕組みは「AKA」（Authentication and Key Agreement）相互認証と呼ばれますが、基本的には上記GSMにおける認証をより高度化、セキュアにしたものです。

SMS型偽基地局の仕組み（認証後SMS）

　3G以降の世代に対応する偽基地局は、スマホのIMSIやそれに対応する認証キーKiが分からない限り認証の段階で頓挫し、それ以降の位置登録などのプロセスに進むことはできません。たとえIMSIが分かっても、Kiなどを入手することは極めて困難です。

　一方で、2GにおいてはIMSIやKiが分からなくても、上記の通りスマホの認証は成功したように見せかけ、次の段階に進むことができます。つまり、TMSIだけ分かっていれば偽基地局はスマホの認証をクリアすることができます。しかも、次の段階の位置登録も、見かけ上、確認できたように応答することが可能でこのプロセスもクリアできます。

　SMSは通常、GSMでも暗号化して送られますが、基地局が暗号化しないことを選択できます。偽基地局は暗号化しないことを選択するので、SMSを支障なく送受することができます。これもGSMの脆弱性の一要因です。

　その結果、スマホとのSMSが送受信が可能となり、詐欺行為などに誘導する段階にまで進むことができます。スマホが受けるSMSには発信者の電話番号が含まれますが、偽基地局ではここに任意の番号を設定することができます。たとえば、実在の銀行や警察、通信事業者を示す番号を設定することにより、これを受けたユーザーが騙される可能性が高くなります。

　日本でも、モバイル通信事業者がユーザーにSMSを送信する際には「157」の番号を使うことが多く、多くのユーザーはこの番号が自分が加入している通信事業者からの連絡であると認識しています。そのため、攻撃者が「157」を使用して詐欺SMSを送信すると、多くの人が騙される可能性が高くなります。

　なお、前述の認証前SMSにおいても発信者番号に任意の番号を設定することができます。

偽基地局被害の予防策

　日本で出没しているGSM偽基地局のターゲットは、インバウンドの旅行者が主であり、主に繁華街に出没してショッピングなどをしている旅行者とSMSのやりとりを通してクレジットカード情報など個人情報の窃取を行うことが目的と考えられます。スマホを強制的に偽基地局に接続させることにより、SMSの送受を行います。

　ここで用いられるSMS型偽基地局は、私達がモバイル通信で使っている周波数帯域に強い妨害波を出しますので、周辺に位置するスマホが通信しづらくなります。それだけではなく、モバイル通信接続している自動販売機や防犯・監視カメラなどのIoT機器が通信障害となることも考えられます。

　さらに、偽基地局により周辺にいる日本のユーザーのスマホも4Gや5Gの圏外となった上で強制的にGSMで接続させられ、SMSを受信する可能性があります。偽基地局にGSMで接続された場合には、スマホ画面上に「4G」や「5G」ではなく「E」「G」「2G」などと表示されるので、その際受信したSMSなど、不審なSMSには応答しないようにすることが重要です。

　ここで、「G」はGPRS（General Packet Radio Service）、「E」はEDGE（Enhanced Data rates for GSM Evolution）を意味しており、いずれももともと音声通話サービス用に標準化されたGSMに後ほどパケット通信機能が加わった方式で、全て2Gを意味します。

　偽基地局に接続されることを防止するためには、スマホで2Gを利用しないように設定するのが得策です。また、偽基地局はモバイルネットワークの番号として海外の通信事業者の番号を報知することから、ローミング機能をオフにすることによって偽基地局への接続を防ぐことが可能です。ただしし、機種によってはそれらの設定ができないものもあるようです。

　日本のユーザーが、海外で国際ローミング中に偽基地局の被害にあう可能性もあります。このような被害を防ぐためにも、実際の通信で2Gを使うことがないのであれば、スマホで2Gを利用しないように設定するのが安全です。

　なお、一部のAndroidスマホのアプリでは偽基地局が周辺に存在することの兆候を検知可能だということです。これらのアプリは、異常なネットワーク番号の報知、不自然な基地局受信信号強度の変化、暗号化オフ設定の検知、不自然なIMSIの要求などが検知できるようです。

おわりに

　本文ではIMSIキャッチャーやSMS型偽基地局の仕組みについて述べましたが、偽基地局としては更に高度で、スマホと商用の基地局の間に入り込んで信号を中継する仕組みのものもあります。この「中継型偽基地局」は、スマホから見ると基地局に見えて、商用基地局からはスマホに見えます。このタイプの偽基地局はGSMでは実現可能ですが、3G以降ではほぼ不可能です。

　中継型偽基地局は、海外で主に法執行機関に利用されているようです。音声や通信データはこの偽基地局を経由するので、全て傍受可能ということになります。

　モバイル通信は進化するに伴い、セキュリティ面での堅牢性は益々高まっています。それでも完璧に安全とは言えないかもしれないので、私達ユーザーは普段から不正利用の被害にあわないように注意する必要があります。