情報処理推進機構(IPA)のセキュリティセンターとJPCERTコーディネーションセンター(JPCERT/CC)は2012年11月14日、主に国内メーカーが製造した国内向けAndroid端末の複数機種に、DoS(Denial of Service、サービス妨害)攻撃を受ける可能性につながる脆弱性が見つかったことを公表した。

 両組織が共同で運営している脆弱性情報公開サイト「JVN」(Japan Vulnerability Notes)に同日付けで掲載された情報(JVN#74829345)によると、同脆弱性は「Android OSを搭載した一部の端末に、特定のシステム領域を参照する際の処理に問題があり、これを悪用されるとDoS攻撃を受ける危険性がある」というもの。フォティーンフォティ技術研究所の大居司氏が発見してIPAに報告した。

 具体的に、同脆弱性を利用したDoS攻撃の流れは次のようになる。まずクラッカ(悪意のあるユーザー)は、同システム領域を参照するリンクを張った“罠Webページ”をネットワーク上に設置する。そして、この罠Webページに脆弱性を持ったAndroid端末ユーザーがアクセスするように誘導する。誘導されたユーザーがリンクを特定の操作で開くと脆弱性を突く攻撃が発動し、Android端末が異常終了してしまう。なお、JVNによれば、「同脆弱性は該当端末の実装に依存する問題であり、Androidエミュレータ上で実行しても問題は生じない」という。

 今回公表された脆弱性によって被害を受ける可能性があるAndroid端末は、主要な携帯電話事業者3社(KDDI、NTTドコモ、ソフトバンクモバイル)にまたがって複数の機種が存在している。14日時点で判明(製品開発者が情報を提供)している端末の型番は以下の通り(端末のブランド名は省略)。まずKDDIでは、「IS05(android 2.2の端末)」「IS11SH」「IS12SH」「INFOBAR A01」「IS11T」「IS11CA」「IS11PT」「EIS01PT」の8機種が該当する(JVNの情報ページその1)。

 NTTドコモでは「SH-12C」「SH-13C」「N-04C」「N-06C」「F-12C」「T-01C」の6機種(JVNの情報ページその2)、ソフトバンクモバイルでは「003SH」「005SH」「DM009SH」「006SH」「007SH」「007SHJ」「007HW」「008Z」の8機種(JVNの情報ページその3)が対象となる。

 脆弱性をふさぐには、基本的に通信事業者あるいは端末メーカーが提供するアップデートを適用するしかないが、端末ごとに対応状況は大きく異なっている。既に過去のアップデートで対応済みのものもあれば、今後提供予定となっているものもある。該当する機種を持っているユーザーは、上記事業者ごとに分かれた「JVNの情報ページ」を参照して対応状況を確認しておこう。