今回、「Stagefright」のバグ問題で知られる Android の脆弱性によって、Android オペレーティングシステムの抱える問題点が浮き彫りになっています。 理論的には、たった1通のマルチメディアメッセージ(MMS)によって、携帯電話が乗っ取られる恐れがあるのです。
エフセキュアラボでは、この脆弱性を狙った脅威の監視を鋭意継続中です。 理論上は攻撃リスクが高く、またAndroidを標的としたさまざまなモバイルマルウェアが定期的に確認されているものの、今回のAndroid の脆弱性を狙った攻撃がまだ観測されていないということは、喜ばしい状況と言えるでしょう。
しかし今回の問題は重大であり、Android のセキュリティ対策全般について、全面的な見直しが必要になってきています。
エフセキュアのミッケは次のように述べています。
Androidは世界中で最も広く使用されているオペレーティングシステムで、2014年に出荷された端末のうち48 %が Android を搭載しています(ガートナーによる)。これらの端末には携帯電話、タブレット、ラップトップ型およびデスクトップ型コンピュータが含まれます。Android を搭載した端末は世界中で10億台以上使用されており(Googleの『端末有効化データ(device activation data)』による)、その大半が「Stagefright」のバグを抱え、パッチを受け取ることのない端末も多数に上ります。これは重大な問題です。
ソフトウェアを更新し常に最新の状態にしておく機能は、セキュリティ対策を万全にするうえで必要不可欠な要素です。Androidは優れた適応性によって目覚ましい発展を遂げてきました。しかし一方で、この適応性の高さゆえに、Androidエコシステムの断片化が進んでしまったのです。
アダムは 『エフセキュア ビジネスインサイダー ブログ(F-Secure Business Insider blog)』で次のように述べています。「Googleによる最近のデータでは、Androidの6 つのバーションが広く使用されています。そのうち最も普及しているバージョンはKitKat(Android 4.4)ですが、これを搭載している端末は全体の40%足らずです。 残り約60% の端末の大半には、KitKat(Android 4.4)以外の5つのバージョンが搭載されていることになりますが、それぞれの端末がカスタマイズされており、サポートのレベルも携帯電話会社やメーカーによってまちまちです」
つまり、多くのユーザが、手持ちの携帯電話をまったくアップデートできない恐れがあるのです。
エフセキュア セキュリティ研究所主席研究員であるミッコ・ヒッポネンは、次のようにツイートしています。「はっきり言って、Android搭載の携帯電話を更新しようとした場合、最も手厚いサポートが受けられる方法として考えられるのは、最新のAndroidを搭載した携帯電話に買い替えることだ」
多くのAndroid ユーザにとっては、これは明らかに不可能な選択肢です。
『The EFF』のクーパー・クインティン氏は次のように述べています。「Androidエコシステムの断片化は、社会経済にも影響を及ぼしています。旧型の安価な携帯電話には、Androidの古いバージョンが搭載されているケースがほとんどです。このような場合、ベンダはサポートサービスを提供していないことが多く、ソフトウェアの更新サービスが行われていないことも珍しくありません。その一方で、新型で高価格な携帯電話(特にGoogleのNexus端末)には、迅速な更新サービスが確実に提供されているのです」
更新プログラムが配布される場合は、手持ちのAndroid端末をアップデートして、「Stagefright」などの、脆弱性を悪用した脅威を防御するためのセキュリティ対策を講じておきましょう。そのほかにユーザが当面するべきこととして次の2つの方法が挙げられます。
1. 手持ちの携帯電話でMMSを処理するメッセージアプリをチェックする。
お使いの端末で、デフォルトのメッセージアプリもしくはGoogleハングアウトを確認し、アプリ上でMMSメッセージの自動取得機能を無効化しておきます。こうすれば受信メッセージに組み込まれたエクスプロイトが端末へ自動ダウンロードされるのを防ぐことができます。
2. 信頼できるソース以外からの写真・ビデオ付きメールの開封や閲覧を避ける。
この問題に関する最新情報は、今後もブログでお伝えしていく予定です。
それではまた
サンドラ
>>原文へのリンク
