コンピュータセキュリティ対策として、「常識を働かせ、システムをパッチ修正し、アンチウィルスをインストールしなさい」という、以前から言われてきたアドバイスについては、聞いたことがあるはずです。これが優れたアドバイスであることに変わりはありませんが、コンピュータセキュリティを取り巻く状況は変化しつつあります。このアドバイスは、かつてはエンドユーザに対して繰り返し言われてきたものでしたが、時代は変わり、今やメーカーに対してアップデートの重要性を強調しなければならなくなってきています。エフセキュアブログでは先頃、ジープの遠隔操作防止に対するクライスラー社のすばやい対応について取り上げたばかりです。クライスラー社はジープ用ファームウェアの最新版を作成したものの、アップデートの適切な配布チャネルを持っていませんでした。Androidで使用されている「Stagefright」も同様の問題を投げかけていますが、こちらはさらに問題が拡大する恐れがあります。

まず「Stagefright」について簡単に見ていきましょう。「Stagefright」はAndroidシステムに組み込まれたモジュールの名前で、動画ファイルを読み取り、端末上で再生する機能があります。不正な細工をした動画コンテンツを利用して、攻撃者がシステムを乗っ取る可能性があるというのが、今回の「Stagefright」バグの脆弱性です。さまざまなチャネルから受信したコンテンツを自動的にプレビューする「Stagefright」の機能が、今回のバグを深刻なものにしているのです。不正なビデオメッセージを送りつけられた場合、受信者がメッセージを開封しなくても、Android端末に不正侵入されてしまう恐れがあるためです。常識を働かせて、怪しげなメールの添付ファイルを開封しないことはできますが、今回はそうはいきません。通常「Stagefright」は受信したコンテンツを自動的にプレビューする設定となっているため、ここでは常識が役に立たないのです。

さらに悪いことに、この件に関してユーザにできることは非常に限られており、携帯電話会社やベンダから修正パッチが配布されるのを待つしかありません。また、多くのユーザにとっては、待つだけ無駄ということになるでしょう。このような事態は、Androidシステムの開発およびライセンスのしくみと密接な関係があります。LinuxをベースとしたAndroidシステムはGoogleによって開発されていますが、完全なオープンライセンスで公開されています。携帯電話ベンダがAndroidを使用する場合、Googleから直接入手していないケースがほとんどです。各ベンダは差別化を図るため、それぞれのニーズに合わせてAndroidに変更を加えています。今回の「Stagefright」のバグに関しては、Googleは速やかな対応を行い、修正パッチを作成しました。従ってGoogleのNexusスマートフォンには直ちに修正パッチが配布される見込みです。しかし、他のベンダにとって状況は複雑です。Googleの修正パッチが各社のカスタマイズしたAndroidと互換性があるかを確認しなければならないため、顧客にリリースするまでには時間がかかる恐れがあります。

しかし、この話は、そもそもベンダが携帯電話をパッチ修正しようとしている場合です。ベンダの一部には、安価なスマートフォンを使い捨て商品と考えているようなケースも見受けられます。これらのスマートフォンは長持ちしないため、販売後のメンテナンスはベンダの負担になるだけなのです。アップデートやパッチを提供しても顧客の買い替えを先送りするだけなので、ベンダの利益にはなりません。このような姿勢は、更新プログラムを送付するプロセスやシステムが不十分な、Android搭載の携帯電話を販売するベンダが一部存在する理由を裏付けるものです。つまり多くの携帯電話はパッチ修正すらされないのです。

この点について、総体的に見ていきましょう。Androidは世界中で最も広く使用されているオペレーティングシステムで、 2014年に出荷された端末のうち48 % がAndroidを搭載しています(ガートナーによる)。これらの端末には携帯電話、タブレット、ラップトップ型、およびデスクトップ型コンピュータが含まれます。Androidを搭載した端末は世界中で10億台以上使用されており (Googleの『端末有効化データ(device activation data)』による)、その大半が「Stagefright」のバグを抱え、パッチを受け取ることのない端末も多数に上るのです。これは重大な問題です。

この記事の執筆段階では、Androidの脆弱性を悪用したマルウェアの拡散は起きていませんが、広範囲に損害を引き起こすワームが発生する条件はすべて揃っています。また、今回のバグはAndroidに5年以上存在していたにもかかわらず、これまで公にされなかった点にも留意すべきです。情報機関が、自らの目的のためにAndroidの脆弱性を密かに利用していたかもしれません。

それでは、ユーザが自らを守るために何ができるでしょうか。なかなか難しい問題です。この記事では総合的なガイドを提供することは目的としていませんが、いくつかのアドバイスを簡単にお伝えしておきます。まず、お手持ちの端末が旧式で、Android 2.2より古いバージョンの場合は、今回の「Stagefright」のバグ問題を心配する必要はありません。また、GoogleのNexus 端末は速やかに修正パッチが配布される見込みですし、CyanogenMod システムを搭載した端末ではパッチがリリースされています。さらに、ユーザのプライバシー保護を重視するBlackphoneは、今回のケースにも迅速に対応すると考えられます。

その他の端末については、「Stagefright」をGoogleで検索し、お手持ちの端末の機種名やベンダ名を調べておくことが望ましいでしょう。その際は、お手持ちの端末に更新プログラムが配布される予定かどうか、また、それはいつになるかということのほかに、脅威を軽減するために設定を変更する方法についても把握しておきましょう。こちらの例もご覧ください。

安全なネットサーフィンを、
ミッケ

>>原文へのリンク