Androidユーザーの95%が影響を受ける「Stagefrightの脆弱性」―テキストメッセージだけで端末に感染する恐れ

Stagefrightの脆弱性

今週初めに、潜在的に約9.5億台のAndroidデバイスに影響を与える脆弱性が発見されました。これはほとんどすべてのAndroidユーザーが影響を受けることを意味します。そして、何より衝撃的なことは、テキストメッセージを受信するだけで攻撃されてしまうことなのです。

サイバーセキュリティの研究者によって発見された新しいセキュリティホール「Stagefrightの脆弱性」について紹介します。この脆弱性は、1年前にインターネットユーザーを脅かした深刻なHeartbleedの脆弱性に次ぐ話題の脆弱性として、セキュリティニュースの見出しを飾っています。

このStagefrightの脆弱性は、Heartbleedほど広範囲に影響を与えるものではないかもしれませんが、とても危険な脆弱性であり、Heartbleedといくつかの点において類似しています。まず、サイバー犯罪者は、このStagefrightの脆弱性を悪用することで、スマホに保存されている連絡先、写真といった個人情報を簡単に盗むことが可能となります。また、Heartbleedのように、非常に多くのAndroidユーザー(Androidユーザーの95%)が影響を受けます。そして、ユーザーは組織やデバイスメーカーによってこの脆弱性が修正されるのを待たなければいけません。

さらに詳しく見ていきましょう。「Stagefright」は、Android OSに実装されているメディアライブラリのニックネームです。アプリケーションは、このライブラリを使用して音楽やビデオといったマルチメディアコンテンツを表示・再生しています。そして、このライブラリに存在するいくつかのバグを利用して攻撃が仕掛けられます。

 

モバイル端末で普及しているSMSやMMSといった写真、ビデオ、音声メッセージを送受信するためのアプリケーションもまたこのライブラリを使用して送られてきたメディアコンテンツを再生しています。サイバー犯罪者は、脆弱なライブラリを使用しているアプリを経由して、ターゲットのデバイスからデータを搾取したり、端末を監視したりするような悪意あるコードを拡散させるのです。この種の攻撃方法は、私たちがコンピューターワームと呼んでいるものに分類されます。

脆弱性を発表した研究者によると、サイバー犯罪者が攻撃を成功させるためには、多くのことを行う必要はありません。彼らが行うことは、(Android OS 2.2以上の)脆弱なデバイスに対して悪意あるテキストメッセージを送信するだけです。いくつかのケースでは、攻撃を成功させるためにユーザーに対してマルチメディアメッセージを開くように要求する必要がありますが、大抵の場合、メッセージを受信するだけで端末を感染させることに成功します。このように、攻撃を行うために、ほとんどユーザー操作を必要としないことが、この脆弱性がとても危険である1つの要因となっています。

また、別の理由としては、修正に時間がかかることです。現時点において、GoogleやAndroidデバイスメーカーの一部は、すでにStagefrightの脆弱性を修正したソフトウェアアップデートを配信していますが、いくつかのデバイスメーカーではまだ行われていません。Androidのデバイスモデルごとにアップデートは異なるため、ソフトウェアアップデートを作成し、配布するためには時間がかかってしまいます。

しかし、Androidユーザーがこの脆弱性に対して完全に無防備であるということを意味しているわけではありません。ユーザー自身がこのStagefrightの脆弱性を突く攻撃から身を守るためのヒントを紹介しましょう:

MMSメッセージを無効化する。これによって多少不便になってしまうかもしれませんが、Stagefrightの脆弱性による脅威がなくなるまでは、MMSメッセージの自動再生機能を無効化しておきましょう。MMSメッセージアプリの設定から添付ファイルの自動再生機能を無効化してください。また、MMSの添付ファイルを自動再生する機能を持つアプリを使用している場合には、それらについても同様に無効化してください。

デバイスを更新する。ソフトウェアアップデートには、脆弱性に対する修正が含まれています。ソフトウェアアップデートの通知を受け取った際には、ソフトウェアを最新に更新してください。いつも私たちが言っていることですが、ソフトウェアアップデートは、Stagefrightの脆弱性を突くような攻撃からデバイスを保護するための最良の方法の1つです。

知らない人からのメッセージを開かない。これは、見知らぬ人からお菓子を受け取るようなものです。あなたが知らない人からのテキストメッセージを開いたり、許可したりしてはいけません。なじみのない電話番号からのメッセージは、Stagefrightの脆弱性や既知の脆弱性を悪用しようとしている可能性があります。

包括的なセキュリティソフトウェアを使う。モバイル、ノート、デスクトップなどデバイスに関係なく、サイバー犯罪者から身を守るためには、包括的なセキュリティソフトウェアを使用するようにしましょう。マカフィーLiveSafe、iOSやAndroid向けのマカフィーモバイルセキュリティといったマカフィーの包括的なセキュリティソリューションはとても有効で、既知の脆弱性やインターネットの脅威から、デバイスや個人情報を保護することができます。

McAfee Mobile Security はこのAndroidに対する脅威をExploit/Stagefrightとして検出し警告するとともに、ユーザーのデータ損失を防ぎます。

※本ページの内容は McAfee Blog の抄訳です。

原文: A Simple Text Puts 95% of Android Devices in the Hotseat
著者: Gary Davis (Chief Consumer Security Evangelist)