NEWS

ニュース | 最新のニュースをお届けします

Android「ステージフライト」に、もう一つの脆弱性「メタファー」が見つかる

この記事をシェア

2015年夏、脆弱性「ステージフライト」が世界中のAndroidユーザーに大きな衝撃を与えました。しかし実はこの脆弱性は十分に解消されていませんでした。しかも新たに、別の脆弱性「メタファー」が発見されたのです。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「welivesecurity」の記事を基に、日本向けの解説を加えて編集したものです。


送られてきたビデオメッセージを受け取るだけでAndroid機器の情報が盗み出される恐れがあるとして2015年に騒がれた脆弱性「ステージフライト」(Stagefright)に関係する新たな脆弱性が、このほどイスラエルのマルウェア研究チームによって見つけ出されました。

この脆弱性を悪用すると、サイバー犯罪者は有害な、必ずしも安全とは言えないWebサイト、または悪意を持って作られたMMS(マルチメディアメッセージングサービス)を使って不正なコードを実行し、情報を盗み出すことが可能となります。

なお、ステージフライトについては、自分が使用している機器が脆弱であるか否かを調べることができる無料のツールが提供されていますが、その後も問題が解消されていたわけではありません。

そこに今回、ノースビット(NorthBit)社の研究者であるハナン・ビア(Hanan Be′er)氏が最近の論文において、「メタファー」(Metaphor)と呼ばれるエクスプロイトを発見したという報告を行いました。

メタファーは、ステージフライトの脆弱性をより巧妙に利用したものです。Androidの防御機構をかいくぐってしまうため、何百万台ものAndroid機器がこのエクスプロイトに対して脆弱性を持つ可能性があります。

Androidの脆弱性が発見されてから実際にパッチが当てられるまでのプロセス

この脅威はAndroidのバージョン2.2 ~4.0上で作動し、その上バージョン5.0~5.1といった最新バージョンでは「ASLR」を回避してしまいます。 ASLRとは「アドレス空間配置のランダム化」のことで、バッファーをオーバーフローさせる攻撃を防いでエクスプロイト固有の操作を妨害する仕組みです。

Webサイト「ザ・レジスター」(TheRegister)で述べられているように、メタファーのプロセスはさまざまな段階から構成されています。最初に、被害者が不正なWebサイトを開きます。続いて、このサイトはビデオを機器に送り込みます。そのビデオはOS内部の設定をいったんリセットするために、OSのマルチメディアサーバーをクラッシュさせます。さらに、Webサイトのページに書き込まれたJavaScriptはメディアサーバーの再起動を待ち構えており、再起動が行われると機器の情報をインターネット経由で攻撃者の個人サーバーへと送信します。

そして、このサーバーは標的となる機器のために用意された動画ファイルを作り出し、それを送り付けます。このファイルはステージフライトの動画再生エンジンを悪用し、機器内の状態についての情報をさらに引き出すことができます。攻撃者はステージフライトを利用して得たこの情報に基づいて新たに別のビデオを作り出します。そしてこのファイルは、ユーザーをスパイするのに必要とする全ての特権を備えたペイロードを実行し始めます。

エクスプロイトは「CVE-2015-3864」のバグを攻撃します。その際ユーザーがそのビデオを「再生」したり、閲覧したりする必要はありません。Webブラウザーがそのファイルを探して分析するときに作動し始めます。

「このエクスプロイトはNexus 5の機器上で最もうまく動作した。これはまた、HTC One、 LG G3、 Samsung S5上でもテスト済みである。ただこのエクスプロイトはこういったブランドの製品上では少し動作が変わってくる。そのため若干修正する必要が出てくるだろう」とこの分析は結論付けています。

いずれにしても、テストという環境下ではあっても、こういったエクスプロイトが作り出されたという事実に変わりはありません。見知らぬ人からビデオメッセージファイルが送られてくると被害に遭う危険性が非常に高い、ということを忘れないでください。

ただし、そうは言っても、それが実際に活動する可能性は極めて特殊な局面に限られています。この攻撃が実行されるためには、Webブラウザー上でJavaScriptが実行されることが必要です。マルウェア研究者が発見したように、このタイプの不正コードは、かなりの数の条件がクリアしないと、実際には被害をもたらしません。

こうした事実を踏まえて言えば、メタファーのことを知ってもパニックに陥ることはないでしょう。ただし、ユーザーは最新のニュースには気を付けるべきです。プロバイダーがパッチファイルをリリースしたなら、直ちにそれをダウンロートするよう、心掛けておくべきでしょう。

この記事をシェア

スマートフォンのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!