LinuxカーネルのTCP脆弱性、「Android」端末の約80%に影響

Zack Whittaker (ZDNET.com) 翻訳校正: 編集部

2016-08-16 10:46

 約80%もの「Android」端末が、先ごろ開示されたLinuxカーネルの脆弱性の影響を受ける。

 セキュリティ企業のLookoutが米国時間8月15日のブログ投稿で述べたところによると、この脆弱性はLinuxカーネル3.6以上を使用しているOSに存在し、「Android 4.4 KitKat」以降のAndroidを搭載するスマートフォンとタブレットに影響を及ぼすという。

 最新の統計データから判断すると、影響を受けるスマートフォンおよびタブレットは14億台を超える可能性もある(「Android Nougat」開発者プレビュー版を搭載する端末も含む)。

 「Windows」と「Mac」はこの脆弱性の影響を受けない。

 問題の脆弱性(CVE-2016-5696)は先週の「Usenix」セキュリティカンファレンスで開示された。攻撃者が脆弱性を突くことに成功した場合、「あらゆる場所」から、暗号化されていないウェブトラフィックに悪質なコードを注入することが可能になるおそれがあるが、そのトラフィックをインターセプトするためには、送信元と送信先のIPアドレスが分かっている必要がある。

 しかし、豊富なリソースを持ち、ネットワーク上で特権的な立場にいる攻撃者(例えば、国家)にとって、この脆弱性を悪用するのはそれほど難しくないかもしれない。

 たとえ接続が暗号化されている場合でも、攻撃者はトラフィックの覗き見はできないにせよ、接続を特定して切断することはできるかもしれない。この種の攻撃は、Torのようなプライバシーと匿名性の保護を目的とするサービスの価値を下げるのに利用されるおそれがある。

 Linux向けのパッチは7月11日にリリースされたが、Androidの最新の月例パッチには間に合わなかった。

 この脆弱性は9月のパッチで、大々的に報じられた「Quadrooter」脆弱性とともにおそらく修正されるはずだ。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  2. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

  3. 運用管理

    メールアラートは廃止すべき時が来た! IT運用担当者がゆとりを取り戻す5つの方法

  4. 開発

    「スピード感のある価値提供」と「高品質な製品」を両立させるテスト会社の使い方

  5. セキュリティ

    「どこから手を付ければよいかわからない」が約半数--セキュリティ運用の自動化導入に向けた実践ガイド

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]