日本で多くのユーザを持つSamsung Galaxy S9も対象機種に
エフセキュアは、Android搭載スマートフォンの複数機種が持つセキュリティ上の問題を発見したことを発表しました。Androidスマートフォンは全世界の市場で大きなシェアを持っています。しかし、エフセキュアのセキュリティコンサルタントによるリサーチでは、Androidスマートフォンの大手メーカー数社が販売する複数のデバイスには、一部の国のユーザにのみ影響を与える地域固有のセキュリティ問題が存在することが判明しました。これは、デバイスのセキュリティに関する問題のひとつを浮き彫りにするものです。
先進的サイバー・セキュリティ・テクノロジーのプロバイダであるF-Secure (本社: フィンランド・ヘルシンキ、CEO: Samu Konttinen、日本法人: 東京都港区、以下、エフセキュア) は、Android搭載スマートフォンの複数機種が持つセキュリティ上の問題を発見したことを発表しました。Androidスマートフォンは全世界の市場で大きなシェアを持っています。しかし、エフセキュアのセキュリティコンサルタントによるリサーチでは、Androidスマートフォンの大手メーカー数社が販売する複数のデバイスには、一部の国のユーザにのみ影響を与える地域固有のセキュリティ問題が存在することが判明しました。これは、デバイスのセキュリティに関する問題のひとつを浮き彫りにするものです。
リサーチの対象となったデバイスには、Huawei Mate 9 Pro、Samsung Galaxy S9、Xiaomi Mi 9が含まれています。脆弱性、設定の問題、そして攻撃者による悪用プロセスや影響はデバイスによって異なります。これらが世界中で販売されているデバイスにも関わらず、地域ごとに異なるレベルのセキュリティが提供されているという点が、今回の発見を重要なものにしています。メーカーによるデバイスの設定方法にもよりますが、これは本質的に一部のユーザに対して低いセキュリティ基準が提供されていることを示しています。
F-Secure ConsultingのリサーチディレクターであるJames Loureiro (ジェームズ・ローレイロ) は、広く普及しているデバイスにこうした問題が存在することで、端末メーカーごとにカスタマイズされたAndroidの普及がセキュリティ上の大きな問題を投げかけていると語っています。
「Samsung、Huawei、Xiaomi などのデバイスメーカーがAndroidに行ったカスタマイズは、デバイスがどの地域で設定されているか、あるいは搭載する SIM カードにより、これらのデバイスのセキュリティが著しく低下させられる可能性があります。メーカーによって100以上ものアプリケーションが追加されたデバイスをいくつも見てきましたが、これはハッキングの対象となる『攻撃領域』が地域によって大きく異なることを表しています。」
例えば、Samsung Galaxy S9は、SIMカードが動作している地域を検出し、デバイスの動作に影響を与えます。Loureiroのチームは、Samsungデバイスのコードが中国のSIMカードを検出した場合、アプリケーションを悪用してデバイスを完全に制御できることを発見しました (他国のSIMカードは該当しない)。XiaomiとHuaweiのデバイスに対するリサーチでも同様の問題が発見されました。どちらのケースでも、リサーチャーたちは地域固有の設定(Huawei Mate 9 Proでは中国、Xiaomi Mi 9では中国/ロシア/インドなど) を悪用することでデバイスを侵害することができました。
F-Secure Consultingは、半年に一度開催されるハッキングイベントである「Pwn2Own」に向けてリサーチを行いながら、数年の歳月をかけてこの脆弱性を発見しました。エフセキュアのシニアセキュリティリサーチャーであるMark Barnes (マーク・バーンズ) は、これらの発見によって、脆弱性のリサーチにおいて新しい可能性を持つ分野が出現してきていると語っています。
「多くのユーザを持つスマートフォン数機種でこうした問題が発見されたことは、これが、セキュリティコミュニティ全体がもっと慎重に検討する必要がある分野だということです。私たちのリサーチにより、セキュリティの観点からカスタムAndroidビルドの急増がどれほど問題になるかが判明しました。そして、デバイスメーカーだけでなく、多くの地域で製品や事業を展開している大企業がこうした問題に対する認識を高める必要があります。」
F-Secure Consultingのチームは、複数回のPwn2Ownイベントでこれらの脆弱性を突いた攻撃を実演し、リサーチ結果をデバイスメーカーと共有しました。攻撃に利用された全ての脆弱性には既にパッチが適用されています。
F-Secure Consultingは4大陸11ヶ国に拠点を構え、銀行、金融サービス、航空、海運、小売、保険、その他セキュリティがクリティカルとなる分野において、高度なサイバーセキュリティコンサルティングサービスを提供しています。
[動画: https://www.youtube.com/watch?v=OoQ5ZkKAeX0 ]
今回のリサーチに関する詳細は以下のブログでご覧いただけます。
https://blog.f-secure.com/ja/do-androids-dream-of-equal-security/
F-Secure Consulting (英語):
https://www.f-secure.com/en/consulting
F-Secure Labs (英語):
https://labs.f-secure.com/
エフセキュアについて
エフセキュアほど現実世界のサイバー脅威についての知見を持つ企業は市場に存在しません。数百名にのぼる業界で最も優れたセキュリティコンサルタント、何百万台ものデバイスに搭載された数多くの受賞歴を誇るソフトウェア、進化し続ける革新的なセキュリティ対策に関するAIテクノロジー、そして「検知と対応」。これらの橋渡しをするのがエフセキュアです。当社は、大手銀行機関、航空会社、そして世界中の多くのエンタープライズから、「世界で最も強力な脅威に打ち勝つ」という私たちのコミットメントに対する信頼を勝ち取っています。グローバルなトップクラスのチャネルパートナー、200社以上のサービスプロバイダーにより構成されるネットワークと共にエンタープライズクラスのサイバーセキュリティを提供すること、それがエフセキュアの使命です。
エフセキュアは本社をフィンランド・ヘルシンキに、日本法人であるエフセキュア株式会社を東京都港区に置いています。また、NASDAQ ヘルシンキに上場しています。詳細はhttps://www.f-secure.com/en/welcome (英語) および https://www.f-secure.com/ja_JP/ (日本語) をご覧ください。また、Twitter @FSECUREBLOG でも情報の配信をおこなっています。
