• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ネットワーク・ホットトピックス

クアルコム製チップ向けAndroidに複数の脆弱性が存在、9億台超に影響

末安 泰三=日経コミュニケーション 2016/10/12 日経コミュニケーション
出典:日経コミュニケーション 2016年9月号pp.44-45
(記事は執筆時の情報に基づいており、現在では異なる場合があります)
目次一覧

イスラエルのセキュリティ企業であるチェックポイントソフトウエアテクノロジーは2016年8月7日、米クアルコム製チップセット向けのAndroidに4つの深刻なセキュリティ脆弱性が存在することを公表し、同脆弱性の検知用アプリを公開した。チェックポイントによると、同脆弱性の影響を受ける端末の数は9億台を超えるという。

 チェックポイントが8月7日に公開した、米クアルコム製チップセット向けのAndroidに存在する4つの深刻なセキュリティ脆弱性(表1)は、影響する端末の数が9億台超と極めて大規模なものだ。

表1●QuadRooter脆弱性の概要
QuadRooterは、クアルコム製チップセットを搭載したAndroid端末の一部に存在する脆弱性である。管理者(root)権限の奪取につながる4つの脆弱性という意味で「QuadRooter」と名付けられた。
[画像のクリックで拡大表示]

 これらの脆弱性を悪用すると、ローカル環境にインストールしたアプリが不正に管理者権限を奪取できる。管理者(root)権限の奪取につながる4つの脆弱性という意味で、チェックポイントはこれらの脆弱性を「QuadRooter」と名付けている。独立行政法人情報処理推進機構(IPA)と一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が運営する「JVN iPedia」(脆弱性対策情報データベース)などでのリスク評価値は、QuadRooterのいずれの脆弱性も7.8以上と高い(CVSS v3による脆弱性評価値。スコアは0~10で、値が大きくなると危険性が高いことを示す)。

 QuadRooter脆弱性を悪用するアプリのインストールに特別な権限は不要である。そのため、インストール時にユーザーが危険なアプリかどうかを判別するのは事実上困難だ。チェックポイントでは、当面の対策としてGoogle Play以外からアプリをインストールしないように勧告している。

影響の有無は専用アプリで検知可能

 QuadRooter脆弱性の影響を受ける端末として同社は具体名を挙げている(表2)。ただし、これ以外の端末にも影響を受けるものがある。

表2●QuadRooter脆弱性の影響を受ける主な端末
チェックポイントが影響を受けると示したものを挙げた。これ以外にも多数の端末が影響を受けると考えられる。
[画像のクリックで拡大表示]

 QuadRooter脆弱性の影響を受けるかどうかは、チェックポイントがGoogle Playで公開している「QuadRooter Scanner」という脆弱性検知用アプリをインストールして実行すると分かる(写真1)。影響が無い場合は写真1左のように表示されるが、影響を受ける状態の場合は写真1右のように、影響がある脆弱性の共通脆弱性識別子(CVE番号)が表示される。

写真1●影響の有無を判別できる脆弱性検知用アプリ「QuadRooter Scanner」
チェックポイントが開発。Google Playからインストールできる。
[画像のクリックで拡大表示]

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る