通話可能なSIMを15分で用意できる!? eSIMを物理SIMにする9esimを試した

eSIMを物理SIMにする5berというのがあるらしいと調べてみると、扱っていた会社の状況がいまいちで入手できなくなっていた。

似たようなのがあるだろうと、探してみるといくつか出てきた。

9esimというのが入手性がよさそうだなぁ、と

どういったソフトウェアでeSIM情報を書き込むのかな?と調べてみると

Windows/MacOS/Linuxだとgithubで公開されてる「MiniLPA」というソフトウェアで書き込める

AndroidだとNEKOKOLPA ( github / GooglePlayStore ) と 9eSIM (NEKOKOLPAの9esim版)

iOSだとNEKOKOLPA というのがある

で・・・調べていくと、eSTK.me という会社が主体で開発しているオープンソースのOpenEUICC ( githubのミラー )というのが 制約事項の少ないeSIMを物理SIM化できるものらしい

いろいろ調べてtwitterで発言してたら上記のNEKOKOLPAなどに日本語翻訳をつけたRe*Indexさんから「docomoのEIDに対応した物理eSIM「eSTK.me」」というまとめを教えてもらった


EUICCとは?

EUICCとは Embedded Universal Integrated Circuit Cardの略称となるのだが、そもそもの「UICC」というのは「電話番号を特定するために固定のID番号が記録されたICカード」のことを指している。ユーザと特定するためのモジュールということでUIM(User Identity Module)と呼ばれることもあり、これを一般的にSIMカードと呼んでいる。

EmbeddedなUICCというのがどういう状態をさすかといえば、機器などに組み込まれているUICCということで、カードとして取り外せないSIMカードという意味合いになる。

じゃあ、eSIMというのは何なのか、ということになるのだが Embedded UICC Remote Provisioning、つまりリモートから書き換え可能なEUICCをeSIMと称している形になる。

Embedded UICC Remote Provisioningの詳しい仕組みについてはNTTドコモテクニカルジャーナル VOL22. No2(2014年7月号)の「Embedded UICC Remote Provisioningの標準化状況 PDFファイルダウンロード」参照のこと

eSIM情報を書き込める物理SIMとは?

たぶん、いくつか商品があるのだと思われるのだが、安価で提供されているものはeSTK.me社が主体となって開発しているOpenEUICC をベースとしているようだ。

OpenEUICCはAndroid端末上に直接組み込んで使うもので、物理SIMにeSIM情報を書き込めるやつはEasyEUICCというバリエーションという扱いになっている。

物理SIM側に搭載されているチップ上にはSIM ToolKit(STK)と呼ばれるアプリケーションが導入されており、そこにeSIM情報などを書き込んで使えるようにする形となる。

5berや eSIM.me といった製品では各ベンダ固有のアプリケーションでeSIM情報を書き込む必要がありしかも書き換え回数などが有料で販売されていたりする。

それに対してeSTK.meのEasyEUICCベースの製品はそのような制限はなく、自由に操作を行うことができ、また、たとえ会社がなくなったとしても、管理ソフトウェアは単体で動作するように作られているため、継続性に問題はない

EasyEUICCベースの製品を入手する

eSTK.me社のEasyEUICCをベースとした製品を入手するにはいろいろ手段はある

・オリジナルのeSTK.me社から買う

2025年4月28日時点では「SmartCard(2025)」として「ESTKme-AIR」と「ESTKme-ESS(Essentail)」の2種類がある

ESTKme-ESS(Essential)はV3と呼ばれるバージョンで、カード上の記憶域が440KBあり容量がある限りは書き込めるもの。

ESTKme-AIRはeSIMのプロファイルを2個まで書き込める制限版だが、記憶領域自体は440KB用意されている。

・9eSIMから買う

9eSIMからは現状、V2とV3の2種類が出ている。また、パソコン上でeSIM情報を書き込むためのアダプタも販売しているので同時に購入してもよいかもしれない。

9eSIM V2はeSIMプロファイルが50個まで保存できる

9eSIM V3もeSIMプロファイルが50個まで保存できるが、記憶域が1.5MBに拡張されている。

・aliexpressで探す

aliexpressでEasyEUICCを検索するといろいろ出てくる

その中で出てきた「Open Source ESIM Physical Card EasyEUICC Unlimited Write Storing 15 Phone Numbers for IPhone and Android」2080円というのを買ってみた

使ってみた

aliexpressで買ったやつが届いた

9eSIM V0と書いてありました。

取り外して手持ちのAndroidで空いていたOPPO Reno A(Qualcomm Android 9)に入れて 9eSIM-nLPAアプリを起動してみます

認識できてない

GRATINA KYV48(MediaTek Android11)…認識できない
Android One S7(Qualcomm Android11)…認識できた
Xiaomi 12 Lite(Qualcomm Android14)のSIMスロット2は認識できない、SIMスロット1は認識できた

あと、富士通Lifebook U938/S LTEモデルのSIMスロットだとどうなのかな?と試してみたけど、書き換えアプリからは認識できなかった

Androidは、QualcommのAndroid 11以降じゃないと使えないのかなぁ?という印象。

povoでの設定手順例

povoでeSIM契約をしてみた。(招待コード M9Y5NL3G )

手続きして以下の画面までもっていく

「eSIMの設定」をクリックすると、下記のようにQRコードが表示される

QRコードを真ん中においてスクリーンショットを取得

9eSIM-nLPAアプリを起動

+をクリック

「カメラで撮影」か「画像ファイルを指定」を選べるので適切なほうをクリックしてQRコードを読み込み、「SM-DP+Address」と「Matching ID」が表示されることを確認

SM-DP+AddressとMatching IDが表示されている状態で「ダウンロード」ボタンを押すとeSIMプロファイルのダウンロード操作が始まり、しばらくすると、ダウンロードするべきプロファイル情報を表示してくる。

こちらで「ダウンロード」をクリックするとSIMへのeSIM情報書き込みが開始される

ダウンロードが完了

有効ボタンをクリックして戻ると以下のように情報が保存されていることがわかる

一度書き込んだらあとはほかの端末に差し込んでもこのeSIM情報が使えるようになった。

今回のpovo契約はマイナンバーカードを使って行ったのだが20時35分にpovoの会員登録から手続きはじめて20:50にはSIMへの書き込みが終わるという劇的短時間発行でした。

DELLスイッチ S5248F-ONで10Gb SFP+がリンクアップしない

DELLスイッチのS5248F-ONとN3248TE-ONを10Gb SFP+モジュール+光ケーブルで接続しようとしたらリンクアップしない、という現象に悩まされた。

結論からいうと、S5248F-ON側に入っているポートグループ設定の問題だった。

[Dell Networking SONiC: ポート速度を設定する方法]の[ポート グループでポート速度を設定する方法(S5248F-ONおよびS5296F-ONにのみ適用)]

10Gb に関する問題であることを確認した手順

10/25Gb SFP28モジュールと10Gb SFP+モジュールがあったので、スイッチ・サーバ間の接続について試した

スイッチ同士の接続をチェック(N324TEは10Gbまでの対応)

S5224F SFP+10Gb<=>N3248TE SFP+10Gb ダメ
S5224F SFP28<=>N3248TE SFP28 ダメ
S5224F SFP28<=(25Gbリンクアップ)=> S5224F SFP28 OK

スイッチとサーバの接続をチェック

N3248TE SFP+10Gb<=(10Gbリンクアップ)=>サーバ SFP28 OK
N3248TE SFP28<=(10Gbリンクアップ)=>サーバSFP28
S5224F SFP+10Gb<=>サーバ SFP28 ダメ
S5224F SFP28<=(25Gbリンクアップ)=>サーバSFP28 OK

どうやら、S5224F側は25Gbでしかリンクアップしない、というのがわかる

該当するinterfaceでspeed設定ができるはずなので確認

N3248TE# speed
  100    Set speed to 100 Mbps
  1000   Set speed to 1000 Mbps
  10000  Set speed to 10000 Mbps
  auto   Automatic Settings (default)
N3248TE# 
S5224F# speed
  25000  Set speed to 25000 Mbps
  auto   Automatic Settings (default)
S5224F#

S5224Fにspeedの選択肢が無い

S5224Fのspeed設定に関するドキュメントを探したところ、冒頭の資料を発見

S5224Fの方はポートグループの設定が25g-4xで行われていることを確認

S5224F# show port-group

Port-group            Mode           Ports     FEM
port-group1/1/1       Eth 25g-4x     1  2  3  4     -
port-group1/1/2       Eth 25g-4x     5  6  7  8     -
port-group1/1/3       Eth 25g-4x     9  10  11  12     -
port-group1/1/4       Eth 25g-4x     13  14  15  16     -
port-group1/1/5       Eth 25g-4x     17  18  19  20     -
port-group1/1/6       Eth 25g-4x     21  22  23  24     -
port-group1/1/7       Eth 100g-1x    25         -
port-group1/1/8       Eth 100g-1x    26         -
port-group1/1/9       Eth 100g-1x    27         -
port-group1/1/10      Eth 100g-1x    28         -
S5224F#

「25g-4x」から「10g-4x」に変更することで対処した

S5224F(conf-pg-1/1/6)# mode Eth
  25g-4x  Breakout to 4 25G interfaces
  10g-4x  Breakout to 4 10G interfaces

S5224F(conf-pg-1/1/6)# mode Eth10g-4x
S5224F(conf-pg-1/1/6)# show configuration
!
port-group 1/1/6
 mode Eth 10g-4x
S5224F(conf-pg-1/1/6)# end
S5224F# show port-group

Port-group            Mode           Ports     FEM
port-group1/1/1       Eth 25g-4x     1  2  3  4     -
port-group1/1/2       Eth 25g-4x     5  6  7  8     -
port-group1/1/3       Eth 25g-4x     9  10  11  12     -
port-group1/1/4       Eth 25g-4x     13  14  15  16     -
port-group1/1/5       Eth 25g-4x     17  18  19  20     -
port-group1/1/6       Eth 10g-4x     21  22  23  24     -
port-group1/1/7       Eth 100g-1x    25         -
port-group1/1/8       Eth 100g-1x    26         -
port-group1/1/9       Eth 100g-1x    27         -
port-group1/1/10      Eth 100g-1x    28         -
S5224F#

この後はspeedが1000と10000が指定できるようになった

S5224F# speed
  1000   Set speed to 1000 Mbps
  10000  Set speed to 10000 Mbps
  auto   Automatic Settings (default)

なお、設定後、これまで ethernet 1/1/21で指定していたポートは ethernet 1/1/21:1 と指定することになる。

SNMP v3の設定で出てくるAuthentication Passphrase, Privacy Passphraseって何?

SNMP v3の設定に出てくるユーザ名はまあよいとして、認証に関わる方が「パスワード(password)」だったり「パスフレーズ(passphrase)」だったり、変な表記揺れ?というのがある。

たとえば、BroadcomのSSL Visibility 5.4の「Create an SNMPv3 User」では「User Name(4~31文字)」に対して、「Authentication Passphrase」と「Privacy Passphrase」でどちらも8文字以上

Oracle ILO Managerの「SNMPv3 User Name and Password Requirements」だと「User Name(32文字以内)」に対して「Authentication Password(8~12文字))」と「Privacy Password(8文字以内)」

Huawei Atlas 800AI Training Server iBMCは「username」と「snmpprivacypassword(8~20文字)」

VMware vCenter Server 8.0/ESXi 8.0は「ユーザ」と「user’s authentication password」「user’s privacy password」で、7~40文字。

いろいろ入り乱れている。

じゃあ、RFCではどう定義されてるんだろ?と調べてみた

SNMP Research International, Inc の「SNMPv3 White Paper」を見ると、SNMPv3についてはRFC3410~RFC3416にかけて定義されているようだった。内容を確認していくと「RFC 3414 – User-based Security Model (USM) for version 3 of the Simple Network Management Protocol (SNMPv3)」がセキュリティに関するドキュメントだった。

こちらの後半「11.2 Defining User」の項目には「password」という記載はあるが「passphrase」という文字列はない。

「user’s authentication key or privacy key (or both)」という記載があるので各ユーザに対して「authentication key」と「privacy key」を設定することができる。このkey文字列は「a 16/20 octet value」であるが、8文字未満だと16/20 octet valueに足らない、ということはわかる。

また、ユーザーとパスワードが各機器で共通だとセキュリティ的に脆弱となるので「Localized-key」を使う、というような記載がある。

Authentication key/Authentication password/Authentication passphraseは8文字~20文字

Privacy key/Privacy password/Privacy passphraseは

WiMAX HOME 02をジャンク500円で手に入れたのでドコモSIMで使った(楽天モバイルは不可

秋葉原でUQ WiMAX HOME 02が本体のみ(電源無し) 500円で売っていた

裏面を見てみると製造年2020年7月、8月、12月などいろいろタイプがあった

電源は12V1.5Aなのだが、極性統一 EIAJ #4 というタイプのコネクタとなっている。

買った時はバッファローWiFiの12Vが使えるだろう、と軽く考えてたのですが駄目でした。

別途、5.5mm/2.1mmから極性統一#4(5.5mm/3.3mm センターピンあり)に変換するコネクタを調達しました。

変換コネクタが届くまでとりあえず手元にあった極性統一#4の12V 0.7Aのアダプタを使って起動テスト

nanoSIMをスロットに入れて電源ON

特に問題なくルータの管理画面にアクセスできたが、ドコモSIMで電波を掴むにはAPN設定以外にも設定が必要だった

[ネットワーク設定]-[基本設定]にある「通信モード」を「ハイスピードプラスエリアモード」に変更する必要がありました。

IIJmio SIMでAPNを設定する場合、[ネットワーク設定]-[プロファイル設定]にある「プロファイルリスト」で「no setup」となっているものを「選択」してから設定します。

このとき、IIJmioのページには「認証タイプ PAPまたはCHAP」と書いてあるのですが、HOME 02では「PAP」と設定しなければつながりませんでした。

また、設定後、5分ぐらい待たないと接続状態とならないようです。


2023/05/11追記

楽天モバイルSIMを入れて設定を試みたところ、ユーザ名とパスワードを未設定、ということはできませんでした。

ただ、適当な値を入れても大丈夫らしいので、設定してみたのですが、接続出来ず

よくよく使用できる電波仕様を確認してみると楽天モバイルが使用しているバンド3(LTE 1.7GHz)は非対応でした。

2023/05/12追記: 楽天モバイルでのau回線利用が拡大されるっぽいですが、au基地局側で設定されている場合のみ使えるって感じなので、基本的には使えないと思っておいた方がいいでしょう

https://twitter.com/Rakuten_Mobile/status/1656902083705176064

FortiGate環境で”This Connection is Invalid. SSL certificate expired.”を食らった

会社からアクセスしてみたようとしたら「This Connection is Invalid. SSL certificate expired.」というエラーがでてアクセスできなかった。

最初、サーバ側の問題なのかと思って調査を開始したところletsencrypt.orgにアクセスした場合にも同じエラーが・・・

さすがにこれはおかしいな、とスマホからLTE回線で確認してみたらどちらもアクセス可能。

これは???と思ってよくよくエラー内容を見直してみる…

FortiNetのアイコンじゃん

というわけで対処方法がFortiNetのページにありました「Fortinet and Expiring Let’s Encrypt Certificates

上記記載の内容を下記に引用する。

Workaround 1 – Prevent fallback to the expired Root CA

With the removal of the expired IdenTrust DST Root CA X3 in Certificate Bundle version 1.28, it is possible to prevent fallback to the expired root CA by blocking FortiGate access to apps.identrust.com, resulting in the correct root CA being used. This can be achieved by using either DNS blackholing or via an FQDN policy to block access to apps.identrust.com.

This will force the FortiGate device to rebuild the certificate chain and find the ISRC Root X1 Root CA Cert in the local certificate in the store.

config system dns-database
    edit "1"
        set domain "identrust.com"
        config dns-entry
            edit 1
                set hostname "apps"
                set ip 127.0.0.1
            next
        end
    next
end

Workaround 2 – Accept the expired certificates

For third-party sites outside of your control, customers can turn off this certificate expiration validation using the following CLI as a temporary workaround:

config firewall ssl-ssh-profile
  edit "certificate-inspection"
    config https
      set expired-server-cert allow 
      set untrusted-server-cert allow
end

FortiGateのコマンドで、期限切れとなっている証明書の取り扱い手法を変える、というものになっている。

今後のFortiGateの新firmwareで、もうちょっとスマートな回避方法の提供を計画しているとのこと。

今回の問題について、該当環境の管理者に確認したところworkaround2の手法で対処した、とのこと。