ファームウェアレベルで「Android」のセキュリティ強化を目指すグーグル

Danny Palmer (ZDNet UK) 翻訳校正: 村上雅章 野崎裕子

2023-03-01 06:45

 Googleは現在、「Android」を搭載したスマートフォンやタブレットのサイバーセキュリティ強化に向け、ファームウェアレベルでエコシステム全体の防御を堅牢化しようとしている。

GoogleとAndroidのロゴ
提供:Getty/SOPA Images

 ファームウェアとは、デバイスのハードウェアを設定したり制御するために舞台裏で動作しているコンピューターソフトウェアだ。ファームウェアはこうした位置付けであるため、たいていはデバイスの電源を入れた際に最初に実行されるコードであり、システムのその他全ての部分を支える土台となる。

 詰まるところファームウェアは、デバイス自体と、ハードウェアのセキュリティ設定をも内包したOSに関連する、セキュリティ面での主要な役割を担っているということだ。

 ファームウェアはあらゆる観点からデバイスを管理するという重要な役割を担っているため、スマートフォンやタブレットがファームウェアレベルで攻撃者の手に落ちた場合、そのデバイスは攻撃者からの永続的、かつ検知の著しく難しいアクセスを許してしまう可能性がある。そうなってしまうと、攻撃者は被害者のありとあらゆる行動を監視したり、機密情報を盗んだり、さらには該当デバイスを機能停止に追い込むことすら可能になる。

 ファームウェアへの攻撃は大々的に遂行されているわけではなく、多くの場合は標的を限定したかたちで遂行されている。とは言うもののGoogleは、Androidのファームウェアに潜む脆弱性を見つけ出そうとするサイバーセキュリティ関連の調査活動の増加と同社が表現する状況に対処しようとしている。

 同社のリサーチャーらは「Google Security Blog」に、「Androidプラットフォームのセキュリティが着実に強化されてきている中、一部のセキュリティリサーチャーらはファームウェアを含む、ソフトウェアスタックの他の部分に焦点を移してきている」と記している。

 このブログ投稿には「こうした副次的プロセッサーに搭載されているファームウェアの脆弱性については、ここ10年以上にわたって数々の論文や発表、ハッキングコンテスト『Pwn2Own』の勝者のプレゼンテーション、脆弱性データベースで語られてきている」とも記されている。

 こういった脆弱性の中には、特にWi-Fiや携帯電話のベースバンドに関する機能に潜んでいる脆弱性を悪用し、デバイス上でリモートコード実行(RCE)攻撃を仕掛けられるようなものもあった。

 Googleは今後、他の領域のコードをセキュアにする過程で学んだ教訓を生かし、起こり得るサイバー脅威からデバイスとユーザーを保護するためのファームウェアの堅牢化によって、Androidのセキュリティを強化していくとしている。

 このプロセスにおいて、コンパイラーベースのサニタイザー(コンピュータープログラムのバグを検出するプログラミングツール)の強化のほか、ファームウェアにおけるその他のエクスプロイトの緩和とともにメモリー安全性の強化も実施されることになる。メモリー安全性の強化という点では、バッファオーバーフロー攻撃などによる、ファームウェアのメモリーに対する直接攻撃からの保護に目が向けられる。

 Googleが指摘しているように、このアプローチを推進するにあたってはいくつかの課題が存在している。

 Googleは同投稿に「ハードウェアを直接操作するファームウェアを堅牢化し、さまざまな観点からAndroidの保護レベルを引き上げるというのは、Androidのセキュリティ面における優先課題の1つだ」と記しており、同社はAndroidデバイスのメーカーも後に続いてほしいと考えている。

 「今後のわれわれの目標は、これらの緩和テクノロジーをより多くのハードウェアに向けて拡大していくことだ。また、われわれのパートナーも歩調を合わせるよう強く促したい。われわれは、エコシステムのパートナーらがファームウェアを堅牢化するために必要とするであろう支援をいつでも提供できる」(Google)

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    セキュリティ担当者に贈る、従業員のリテラシーが測れる「情報セキュリティ理解度チェックテスト」

  2. セキュリティ

    サイバー攻撃の“大規模感染”、調査でみえた2024年の脅威動向と課題解決策

  3. セキュリティ

    従業員のセキュリティ教育の成功に役立つ「従業員教育ToDoリスト」10ステップ

  4. セキュリティ

    IoTデバイスや重要インフラを標的としたサイバー攻撃が増加、2023年下半期グローバル脅威レポート

  5. セキュリティ

    急増する工場システムへのサイバー攻撃、現場の課題を解消し実効性あるOTセキュリティを実現するには

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]