「J2ME Security Vulnerabilities Discovered」より
August 11,2008 Posted by Jimmy Shah
ある独立系セキュリティ研究組織が,モバイル機器向けJavaプラットフォームJava 2 Platform, Micro Edition(J2ME)に存在する新たなセキュリティ・ホールを見つけたと発表した。そのうち二つのセキュリティ・ホールは携帯電話機のJava仮想マシン(JVM),ほかの14個はフィンランドのノキアが提供している携帯電話機「Series 40」シリーズに関係する。Series 40はスマートフォン用OS「Symbian OS」を採用しておらず,携帯電話機向けアプリケーションであるJ2ME用MIDletを動かすことしかできない。
問題のセキュリティ・ホールとJVM用エクスプロイトは,信頼していないMIDletを動かしてしまう。比較的最近の「S40, 3rd edition」を搭載している携帯電話機は,このセキュリティ・ホールを突かれるとJVM用エクスプロイトを悪用するMIDletの餌食になる。
セキュリティ・ホールの情報を発表した研究組織によると,以下のような被害を受ける。
・攻撃用MIDletの実行権限がメーカーやキャリアのレベルまで昇格
・感染後に初めて携帯電話機の電源を入れると,攻撃用MIDletが起動
・ファイルにアクセス
・SMS/MMSをメッセージ送信
・電話の発信
・電話帳にアクセス
・SIMカードにアクセス
・カメラとマイクを使った盗聴/盗撮
Java携帯電話機を狙ったマルウエアは,これまで「J2ME/Redbrowser」や「J2ME/Wesber」など,ユーザーを通信料金のトラブルに巻き込む程度のものだった(関連記事:Java携帯や,Windowsモバイル機器に感染するトロイの木馬が相次いで出現)。これほど悪質なマルウエアの攻撃対象となるセキュリティ・ホールが見つかったのは,今回が初めてだ。
この研究組織は,今回のセキュリティ・ホールと多くのコンセプト実証(PoC)エクスプロイトに関する情報を,170ページ以上ある報告書としてまとめた。セキュリティ研究者がPoCや攻撃用サンプルを作った場合,大抵はセキュリティ関連の研究コミュニティに提供する。ところが今回の研究者らは,公表前に研究結果とマルウエアの情報を知りたければ2万ユーロ(約2万9500ドル)支払うように言っている。セキュリティ・ホールの情報が公表されると,一般にそれを悪用するエクスプロイトが作られる。
Copyrights (C) 2008 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,「J2ME Security Vulnerabilities Discovered」でお読みいただけます。
