14億台ものAndroid端末に通信が傍受される脆弱性が存在することが明らかに

By Family O'Abé

HTTPによる通信をより安全にするため、通信データをSSL(TLS)を用いて暗号化するのが「HTTPS」ですが、その普及率はまだ完全とは言い難い状況です。そんな中、Android端末の80％に暗号化されていない通信をインターネット経由でどこからでも簡単に傍受されてしまう脆弱性が存在することが明らかになっています。

Linux flaw that allows anyone to hijack Internet traffic also affects 80% of Android devices | Lookout Blog
https://blog.lookout.com/blog/2016/08/15/linux-vulnerability-android/

LinuxカーネルのTCPに重大な脆弱性「CVE-2016-5696」が存在することが明らかになりました。この脆弱性はLinuxカーネル3.6以上を使用しているOSに存在するもので、Android 4.4 KitKat以降の端末、つまりはAndroid端末の80％に及ぶとのことです。なお、さまざまな産業の統計データを公開しているStatisticによると、2015年の時点でAndroid端末は18億台にインストールされていたとのことで、この数字をベースに考えると、全世界で14億台ものAndroid端末が今回明らかになった脆弱性の影響を受けるということになります。

Linuxカーネルの脆弱性を利用すれば、あらゆる場所から「暗号化されていないインターネットトラフィック」を傍受可能になるとのことです。問題は、従来は通信を傍受するために中間者攻撃などの手法でネットワークを危険にさらす必要がありましたが、その必要がなくなったという点だそうです。この脆弱性を使えば、アタッカーは遠隔で特定の人物の暗号化されていない通信の通信内容を傍受したり、特定端末の暗号化接続をデグレードしたりが可能。この時、中間者攻撃を行う必要がなくなる一方で、アタッカーは送信元と送信先のIPアドレスを分かっている必要があります。

By freestocks.org

また、モバイル端末向けのセキュリティアプリや、その他のセキュリティソリューションを提供するLookoutは、「もしもあなたのAndroid端末が企業向けアプリを起動している場合、スパイ攻撃を受けやすくなる」と述べています。企業は自身のサーバーにLinuxベースのメール等のサービスを構築している場合があるので、そういった場合、脆弱性を利用してアタッカーに通信内容を傍受される恐れがあるとのこと。もしそうなれば、企業にとって重要なメール・文章ファイル・その他のデータなどの内容を盗み見られる可能性もあります。

Linuxカーネルのパッチは2016年7月11日に公開されていますが、Android OSでは同脆弱性に対するパッチは配布されていません。Lookoutは、ユーザーにできる簡単な対策として、ウェブサイトを閲覧する際にHTTPSやVPNを使ったセキュアな通信を用いることを推奨しています。