画面●メッセージアプリの一つ「ハングアウト」では、「設定メニュー」→「SMS」でMMSの自動取得を解除できる
画面●メッセージアプリの一つ「ハングアウト」では、「設定メニュー」→「SMS」でMMSの自動取得を解除できる
[画像のクリックで拡大表示]

 JPCERTコーディネーションセンターと情報処理推進機構(IPA)が運営する「Japan Vulnerability Notes(JVN)」は2015年7月29日、スマートフォン/タブレット用OSであるAndroidのほぼ全てのバージョン(2.2から5.1.1_r5より前のバージョンまで)に、遠隔地の攻撃者にプログラムを実行されてしまう深刻な脆弱性があるとして、注意喚起する文書を出した。

 JVNは「アップデートに関しては、携帯電話キャリアもしくは端末の製造元へお問い合わせください」としている。

 Androidの開発元である米グーグルは、既にこの脆弱性に対応する修正プログラムを提供している。ただし、実際のアップデートのプロセスは携帯電話キャリアや端末メーカーが管理している。キャリア・メーカー側の準備が整うまで、利用者が抜本的な対策をとるのは難しいのが実情だ。

データ漏洩や盗聴・盗撮の恐れ

 JVNの文書によれば、Android内部の「Stagefrightエンジン」に複数の脆弱性が見つかった。これを悪用すると、端末上で任意のプログラムを実行できる。端末内のデータを漏洩させたり、マイクやカメラを不正に操作して盗聴・盗撮されたりする恐れもある。

 典型的な攻撃の手口では、スマートフォンのメールの一種であるMMS(マルチメディアメッセージ)が悪用される。脆弱性を突くように細工されたMMSを受信するだけで、端末を外部から操作される可能性がある。

 JVNはアップデート適用前の回避策として、「見知らぬ送信者からのすべてのテキストメッセージをブロックする」「マルチメディアメッセージの自動取込みを無効にする」ことを挙げている。設定方法は端末やメッセージアプリの種類によって異なる(画面)。

 こうした設定ができない端末・アプリもあり、その場合は回避策を講じるのも困難である。MMSについて回避策を講じた場合でも、新たな攻撃の手口が広まる可能性があり、根本的な対策としてはアップデート適用が必要になる。

JVNの発表資料