SIMカードの脆弱性とそれを悪用する攻撃「Simjacker」について、通信会社向けのサイバーセキュリティ企業AdaptiveMobile Securityが解説している(AdaptiveMobile Securityのブログ記事、 Android Policeの記事、 The Next Webの記事、 Ars Technicaの記事)。 Simjackerの脆弱性とは、一連のSIM Toolkit (STK)コマンドを含む特別に細工したSMSを受信することで、それらのSTKコマンドが実行されてしまうというものだ。コマンドの実行環境としては、SIMカード内のS@T (SIMalliance Toolbox) Browserというソフトウェアが使われる。S@Tは2009年以降更新されていないという古い規格で、機能の多くが新しいテクノロジーで置き換えられているものの、現在も広く使われているとい