この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものです。
A
クアルコム(Qualcomm)製チップ搭載のAndroid端末に4つの脆弱性(クアッドルーター QuadRooterと呼ばれる)が発見されました。この脆弱性を突いた攻撃によって世界で9億台の端末が乗っ取られる可能性がありますが、今のところ大きな被害はなく、ただ、金銭要求のメッセージが現れる程度で済んでいます。
脆弱性「クアッドルーター」が発見された直後に、その対策がGoogle Playのアプリストアに登場しました。不運にもキウィアプス社(Kiwiapps Ltd.)が「フィックスパッチ クアッドルーター」(Fix Patch Quadrooter)と名付けた2つのアプリは、実際にはAndroidのシステムにパッチを当てるものではありませんでした。ESETの通知によりすでにGooglePlayからは除外されているものの、これは不正アプリで、ユーザーに対して望まない広告を表示させます。最悪の場合、支払いを要求するものもありました。約100円(=0.99ユーロ)の支払いを求めるのです。
この発見と関連して、ESETでAndroidのマルウェアを専門とする研究者であるルーカス・ステファンコ(Lukas stefanko)に幾つかの質問を投げ掛けてみました。
Q あなたが2つの偽パッチ・アプリを発見したことは、どれだけ大きな出来事なのでしょうか。
A それらがつくり出した被害という意味では、ささいなことでした。限られた数のダウンロードしかされておらず、実行したユーザーも深刻な事態を経験していません。この不正アプリは単に、被害者に対して広告を表示するにすぎません。それが被害の全てです。支払いを要求するバージョンもありますが、わずか100円程度の支払いを求めるにすぎません。
しかし、モバイルマルウェア向けのこの種の偽装を見るのは、これが初めてのことです。厳密に言えば、この種の細工はWindowsで目にしてきました。そのときクラッカーたちは、マジェント(Magent)社のeコマースのプラットフォームにあった致命的な脆弱性を使ってオンラインストアに仕掛けを施し、偽のセキュリティパッチをインストールさせようとしました。この、いわゆる「ショップリフト・バグ」(ShopLift bug)というものは、攻撃者に脆弱なeストアの管理者権限を簡単に取得させてしまいます。脆弱性が解消されて丸1年後に発生したある攻撃では偽のパッチが用いられ、マルウェアが拡散されました。これは、バグを修正するかのように装っていました。
Q こうした、パッチを装う攻撃は十分あり得る偽装なのですね。
A そうです。そしてこれが非常に興味深いところでもあります。つまり、新たな標的として、セキュリティを気に掛けている人たちを狙っているのです。
Androidにおいて、最も広まっている不正アプリの偽装は人気のゲームにまつわるものです。無料バージョンやチュートリアル、裏技などです。非常に率直に言って、セキュリティは、そのような被害に陥る人にとって最優先のことではないからです。
Q 犯罪者は偽のパッチの活用を大規模に使い始めると予測していますか。
A 希望としては、そうでなければいいと思っています。しかし、われわれはこの脅威について多くの人が気付くべきだと考えています。
私が心配しているのは、例えば、ユーザーの注意を本当に引き付けてしまうような偽のパッチによって、許可を全て得てしまう可能性があるということです。パッチがシステムを修正することになっている場合、誰も強くクレームを付けなくなるでしょう。ここで問題なのは、アプリがシステムパッチとしては稼働できないということを、人々が知らないことなのです。
もしもそのアプリがシステム内の問題を解決すると約束しているのであれば、それはなりすましです。今後の記事においてもこの点をぜひとも強調してください。
Q ぜひともそうしたいと思っています。ところで、パッチが効かなければ、ユーザーはどのようにクアッドルーターの脆弱性に対処できるのでしょうか。
A 重要なのはクアッドルーターがアプリの形で配信されなければならないことです。もしあなたが身元不明のアプリを持っている場合、そのアプリの設定を自ら行うというだけでなく、信頼できないところからそのアプリをインストールした場合にのみ、脅威となります。
他方で、Googleのセキュリティシステム「Verify Apps」(Androidのバージョン4.2 ジェリービーンズからデフォルトで利用可能)の防御が有効になっていれば、基本的には安全だということになります。
クアッドルーターのエクスプロイトを用いてアプリをインストールしようとすると、Androidは「インストールがブロックされました」というメッセージを表示します。結果、その脅威を無視し、アプリをインストールするという選択肢はなくなるのです。
Q なるほど。しかし、それはある意味、最後の防衛ラインではないでしょうか。一方でシステムは、少なくとも技術的には脆弱性を持っているのではありませんか。
A もちろんその通りです。ただし、Androidシステムの中でパッチを当てるのは簡単なことではありません。
本当のパッチは、Androidの開発者から提供されなければならず、これら4つの脆弱性のうちの3つは提供済みです。残りの1つは、まだ開発の途中です(2016年8月25日現在)。そして、システムにパッチを当てるのは、デバイスの製造元次第なのです。予見できる将来において、大部分のユーザーは「Verify Apps」の防御に頼らなければなりません。
Q 被害者になるかならないかは、状況によって左右されるわけですね。
A そうです。われわれは危険にさらされる驚異的な数のユーザーについてのニュースを絶えず目にしています。しかし本当に重要な脅威は、こうした数とは何ら関係がありません。ごく基本的な安全規則に従っていれば、それほど危険な目に遭う可能性はありません。
言われているのは、繰り返し観察し、学び、新たな事態に立ち向かうべきだということです。具体的には、もしアプリがあなたのシステムにある脆弱性を解消すると言っているとしても、それはなりすましだということです。
