McAfee Labsは7月31日、ブログでAndoirdにおける「Stagefrightの脆弱性」について公表した。新たに発見された「Stagefrightの脆弱性」は、1年前にインターネットユーザーを脅かした深刻なHeartbleedの脆弱性に次ぐ話題の脆弱性という。マカフィーの日本法人がブログにて抄訳で伝えた。
今回発見されたStagefrightの脆弱性は、潜在的に約9億5000万台のAndroidデバイスに影響を与えるもので、ほぼ全てのAndroidユーザー(Androidユーザーの95%)が影響を受けることになる。その上、ユーザーは組織やデバイスメーカーによってこの脆弱性が修正されるのを待たなければならない。また、テキストメッセージを受信するだけで攻撃されてしまう。
サイバー犯罪者は、このStagefrightの脆弱性を悪用することで、スマホに保存されている連絡先、写真といった個人情報を簡単に盗むことが可能となる。Heartbleedほど広範囲に影響を与えるものではないかもしれないが、非常に危険な脆弱性であり、Heartbleedといくつかの点において類似した脆弱性であるとのこと。
Stagefrightとは、Android OSに実装されているメディアライブラリのニックネームで、アプリケーションはこのライブラリを使用して音楽やビデオといったマルチメディアコンテンツを表示・再生している。今回の脆弱性は、このライブラリに存在するいくつかのバグを利用して攻撃が仕掛けることができるという内容だ。
Stagefrighは、SMS/MMSをはじめ各種メッセージを送受信するアプリケーションでもメディアコンテンツを再生する際に利用しており、この脆弱性を持つデバイスに対し悪意あるテキストメッセージを送信するだけで端末に悪意あるコードを感染させることができる。このコードによって、標的デバイスからデータを盗んだり、端末の監視を行うことができてしまう。
なお、いくつかのケースでは、攻撃を成功させるためにユーザーに対してマルチメディアメッセージを開くように要求する必要があるものの、大抵の場合はメッセージを受信するだけで端末を感染させることに成功する。ほとんどユーザー操作を必要としないことが、この脆弱性がとても危険である1つの要因だ。
もう1つ重要な問題点は、本脆弱性の修正に時間がかかること。現時点において、GoogleやAndroidデバイスメーカーの一部は、すでにStagefrightの脆弱性を修正したソフトウェアアップデートを配信しているが、いくつかのデバイスメーカーではまだ行われていない。Androidのデバイスモデルごとにアップデートは異なるため、ソフトウェアアップデートを作成し、配布するためには時間がかかってしまうのだ。
このStagefrightの脆弱性を突いた攻撃から身を守るためのヒントは以下の通り。
MMSメッセージを無効化する
MMSメッセージを扱うアプリにおいて、添付ファイル自動再生機能を無効化する。
デバイスを更新する
脆弱性に対する修正が含まれるソフトウェアアップデートの通知を受け取ったら、迅速に更新を行う。
知らない人からのメッセージを開かない
なじみのない電話番号からのメッセージは、Stagefrightの脆弱性や既知の脆弱性を悪用しようとしている可能性がある。
包括的なセキュリティソフトウェアを使う
デバイス種別にかかわらず、サイバー犯罪から身を守るために包括的なセキュリティソフトウェアの使用を推奨。なお、McAfee Mobile Securityは今回の脅威を「Exploit/Stagefright」として検出し警告するとともに、ユーザーのデータ損失を防ぐ。
