スマホでリンクをクリックするだけで究極のスパイツールと化す不具合が発覚

by Kristen Nicole

Android搭載スマートフォンでリンクをクリックすると、攻撃者がフルリモートコントロール可能になってしまうというセキュリティの不具合があることが報告されました。実機を使ったデモンストレーションで実証されており、また、Android以外にiPhoneやiPad、BlackBerry、GoogleTVの端末も同様の危険に晒されている可能性があります。

How a Web Link Can Take Control of Your Phone - Technology Review

サンフランシスコで開催されているRSA Conference 2012で、セキュリティ技術企業CrowdStrikeのジョージ・クルツさんらは、Android端末で誤ったリンクをクリックすると、攻撃者が端末をフルリモートコントロール可能になる不具合を発見しました。

「カメラがあって、マイクもあって、いつでもあなたがどこに居るのかを知っていて、常に電源はオンで、大事な情報をすべて格納している端末……なにが『ユビキタス』か」とクルツさんは問いかけています。「スマートフォンは、究極のスパイツールだ。」

スマートフォンがハックされたのはこれ以前にも事例はありますが、公的にデモンストレーションが行われたのは初のこと。今回のデモでは、クルツさんらは通話内容の録音、テキストメッセージの盗み読み、電話の場所の追跡に成功しました。今後、企業の知的財産や会社幹部の有益な情報を狙って同様の攻撃は一般化していくだろう、とクルツさんは指摘。すでにセキュリティ専門家は、モバイル端末への攻撃はどんどん増加し、攻撃内容も効果的なものになっていくと警鐘を鳴らしていますが、今回のデモはまさにこれを示しています。

クルツさんらが行ったのは、実物で無改造のAndroid端末を使って、クルツさん演じる「産業イベント中で忙しい投資者」が危険に遭遇するというデモ。クルツさんのもとに「アプリをアップデートするためにファイルをダウンロードしろ」というテキストメッセージが届き、メッセージ内のリンクをクリックしたところ、ブラウザがクラッシュして端末が再起動。再起動が完了すると端末は以前と同じように動作しましたが、すでに攻撃者は通話内容とテキストメッセージを転送するよう設定済みで、端末の場所も追跡可能な状態になっていました。

デモはAndroid2.2搭載の端末で行われましたが、ブラウザ内のバグを利用しているので、同じブラウザを使用しているAndroid2.3でも起きえます。この2つのバージョンはAndroid全体の90％を占めています。さらに重要なことに、同じくWebKitベースのブラウザはiPhoneやiPad、BlackBerry、GoogleTVでも用いられている、とクルツさん。

攻撃者はWebKitの未改善バグ14点の情報を、ブラックマーケットで1400ドル(約11万4000円)を支払えば入手可能。この情報をもとにした攻撃によって端末のroot権限を取得可能で、リモートアクセスツールをインストール可能になります。「ロシアや中国ではRAT(Remote Administration Tool)の開発が盛んで、我々が数週間で作れるものであれば、彼らも同じように作ってくるだろう」と、CroudStrikeのCTO(最高技術責任者)、Dmitri Alperovitchさんは語っています。

クルツさんは、今回のような攻撃を防ぐには、もっとOSが頻繁にアップデートされなければならないと指摘しました。しかし、通信事業者と端末メーカー、OSメーカーが協力しなければできないためハードルは高く、多くの端末でアップデートはわずかにしか行われていません。

セキュリティ対策に不備があるのは困りものなのですが、利用者としても、スマートフォンの情報は漏れる可能性が十分にあると最初から認識した上で、重要な情報をすべて1つの端末にまとめないなどの利用の工夫が必要です。最後に自分の身を守るのは自分です。