| 研究者 2015年8月3日


2015年8月3日

Androidユーザー必読:Androidで新たな脆弱性「Stagefright 」を検出

By Lookout

Stagefrightとは
最近、セキュリティ研究者によってAndroid内蔵のメディアプレーヤー、Stagefrightに関わる一連の深刻な脆弱性が検出され、世界中のほぼすべてのAndroid端末が影響を受けることが明らかになりました。このStagefrightの脆弱性が攻撃者によって悪用されると、被害者にエクスプロイトを仕込んだマルチメディアメッセージ(MMS)を送信し遠隔操作によって端末からデータを搾取されるという深刻なセキュリティ問題が生じる恐れがあります。
MMSコンテンツを処理し、それによってエクスプロイトを受信するアプリケーションはいくらでもありますが、Googleハングアウトをこの用途に使用する端末は危険にさらされる可能性が最も高くなります。これは被害端末がハングアウトでメッセージを開封せずとも攻撃者が端末のコントロールを奪うことができるためです。その他に考えられる攻撃では、被害者がデフォルトのSMSメッセージングアプリとメッセージスレッドそのものを開かなければエクスプロイトが作動しません(メディアファイルは必ずしもアプリ上で再生する必要はありません)。
Stagefright に関してこの24時間に行ったLookoutの独自調査によると、ブラウザで再生されたマルチメディア(ウェブ動画など)もStagefright攻撃の受信に利用される可能性があるようです。
Stagefright脆弱性が及ぶ対象はFroyo 2.2からLollipop 5.1.1までを持つAndroid端末全てで、これは現在ある全Android端末の約95%に相当します。これらの脆弱性を最初に発見したセキュリティ研究者はこの問題について4月にGoogleに警告し、セキュリティパッチを提供しました。Googleはこのパッチを受け入れ、セキュリティアップデートをパートナーに発行し、脆弱性のある端末へ配布されました。
Lookoutによる保護
LookoutはStagefrightエクスプロイトを利用して送信されるマルウェアから端末を保護します。ただしGoogleからこれらの脆弱性に対するパッチが配信されるまでは端末に脆弱性を残したままの状態ですのでご注意ください。Nexus 以外のAndroid端末は最終的にGoogleパートナー(端末メーカーもしくは通信会社)経由でパッチ配布を待たなくてはなりません。Google広報担当者によると、Nexus端末の場合は来週Googleから直接セキュリティアップデートが配布されます。
残念なことに、Googleパートナーがセキュリティパッチを配布するまでに数週間、完全に配備されるまでには数か月かかる可能性があります。そこでStagefrightのセキュリティパッチを待つ間、Androidユーザーが端末で実行できる追加の自衛手段をお知らせします。
追加保護策として
追加的保護手段として、端末のデフォルトのSMSアプリ上でMMSメッセージの自動取得を無効化することをLookoutはお勧めします。
Android端末がSMS経由で動画メッセージを受信した時、デフォルト設定によりファイルを自動的にダウンロードします。したがって自動取得機能を無効化することで、Stagefrightエクスプロイトが組み込まれた悪意ある動画を攻撃者が送信しても端末への自動ダウンロードを阻止できます。その後ユーザーがそのメッセージを削除すれば端末の悪用を避けられます。
端末のデフォルトSMSアプリは「ハングアウト」、もしくはAndroidの内蔵アプリで「メッセージ」や「メッセージング」、「メッセンジャー」など様々な名称が機種やAndroidバージョンごとにつけられています。
MMSの受動取得機能の無効化方法について、先に挙げた4つのメッセージングアプリ別の手順を以下に掲載しました。他のSMSアプリが内蔵されている端末については、そのアプリの設定に従って MMSの自動取得機能を無効化するか、ハングアウトなどこの機能の無効化が設定できるようなアプリに切り替えることを推奨します。LookoutユーザーでMMS自動取得機能の無効化でお困りの場合は、Lookoutサポートにご連絡ください。
ここに挙げた方法を実施することでMMS経由の端末悪用への対策となりますが、合わせて、信頼できないサイト上で動画を再生したり不明な送信者からのメッセージに含まれている動画を再生したりする場合は十分注意するようお勧めします。
ハングアウトでMMS受動取得機能を無効化する場合:

まずハングアウトを起動し、その後画面左上部にあるメニューボタンをタップします:

Hangouts-1-JP

次に「設定」タップします:

Hangouts-2-JP

次に「SMS」をタップします:

(注意:SMSがここで表示されない場合は、その端末でSMSMMSの受信にハングアウトが使用されていません。その場合ユーザーは該当するアプリケーションの設定に従ってMMSの自動取得を無効化する必要があります。)

Hangouts-3-JP

その後スクロールダウンし、「MMSの受動取得」のチェックを外します:

Hangouts-4-JP

メッセージでMMS受動取得機能を無効化する場合:

まず メッセージを起動し、画面右上部にあるメニューボタンをタップします:

Messages-1-JP

次に「設定」をタップします:

Messages-2-JP

次に「マルチメディアメッセージ(MMS)」をタップします:

Messages-3-JP

その後「自動取得」からチェックを外します:

Messages-4-JP

メッセージングでMMS受動取得機能を無効化する場合:

まず メッセージングを起動し、画面右上部にあるメニューボタンをタップします:

Messaging-1-JP

次に「設定」をタップします:

Messaging-2-JP

その後スクロールダウンして「自動取得」からチェックを外します:

Messaging-3-JP

メッセンジャーでMMS受動取得機能を無効化する場合:

まず メッセンジャーを起動し、画面右上部にあるメニューボタンをタップします:

Messenger-1-JP

次に「設定」をタップします:

Messenger-2-JP

次に「もっと見る」をタップします:

Messenger-3-JP

その後「自動取得」を無効化します:

Messenger-4-JP

最後に、Lookoutでは端末がパッチを受けるまでMMSの自動取得を無効化の状態にしておくことを推奨します。システムアップデートが端末にプッシュされた場合はできるだけ早くインストールしてください。Lookoutブログでは引き続きこの問題について取り上げ最新情報をお知らせする予定です。

投稿者

Lookout

コメントする

送信


0 コメント