約80%もの「Android」端末が、先ごろ開示されたLinuxカーネルの脆弱性の影響を受ける。
セキュリティ企業のLookoutが米国時間8月15日のブログ投稿で述べたところによると、この脆弱性はLinuxカーネル3.6以上を使用しているOSに存在し、「Android 4.4 KitKat」以降のAndroidを搭載するスマートフォンとタブレットに影響を及ぼすという。
最新の統計データから判断すると、影響を受けるスマートフォンおよびタブレットは14億台を超える可能性もある(「Android Nougat」開発者プレビュー版を搭載する端末も含む)。
「Windows」と「Mac」はこの脆弱性の影響を受けない。
問題の脆弱性(CVE-2016-5696)は先週の「Usenix」セキュリティカンファレンスで開示された。攻撃者が脆弱性を突くことに成功した場合、「あらゆる場所」から、暗号化されていないウェブトラフィックに悪質なコードを注入することが可能になるおそれがあるが、そのトラフィックをインターセプトするためには、送信元と送信先のIPアドレスが分かっている必要がある。
しかし、豊富なリソースを持ち、ネットワーク上で特権的な立場にいる攻撃者(例えば、国家)にとって、この脆弱性を悪用するのはそれほど難しくないかもしれない。
たとえ接続が暗号化されている場合でも、攻撃者はトラフィックの覗き見はできないにせよ、接続を特定して切断することはできるかもしれない。この種の攻撃は、Torのようなプライバシーと匿名性の保護を目的とするサービスの価値を下げるのに利用されるおそれがある。
Linux向けのパッチは7月11日にリリースされたが、Androidの最新の月例パッチには間に合わなかった。
この脆弱性は9月のパッチで、大々的に報じられた「Quadrooter」脆弱性とともにおそらく修正されるはずだ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
