Googleの研究者であるAndrey Konovalov氏は米国時間11月7日、LinuxカーネルのUSBドライバに14件の脆弱性が存在していることを明らかにした。同氏がこれら脆弱性を発見するために使用したのは、同じくGoogleの研究者であるDmitry Vyukov氏が開発したOSカーネルのファズツール「syzkaller」だ。
Konovalov氏は、オープンソース環境のセキュリティ情報をやり取りするOpenwallのメーリングリストに、「これらすべての脆弱性は、攻撃者が物理的にアクセスできるコンピュータを標的にした、悪意あるUSBデバイスを作成することで悪用できる」と記している。
今回発表された14件の脆弱性に対する修正が入手可能となっているが、これら14件はLinuxカーネルのUSBドライバに影響を与える79件の脆弱性の一部でしかない。
79件の脆弱性のうち、現時点で共通脆弱性識別子(CVE)番号が割り当てられているのは22件となっている。これら脆弱性に対するそれぞれの修正は入手可能だが、多くはまだ対処されていない。
これら14件の脆弱性は、Linuxカーネルのバージョン4.13.8以前に影響を与えるという。その大半はDoS攻撃に悪用できるものだが、特別な方法で作成したUSBデバイスにより、システムクラッシュや「予期できない」その他の影響が引き起こされる可能性もある。
攻撃自体には物理アクセスが必要となるものの、サイバー犯罪者らは過去にも、マルウェアを感染させたUSBメモリを会社の駐車場にわざと落としておき、好奇心の強い従業員が会社のコンピュータに挿入するよう仕向けるという手法を使ったことがある。
また「Stuxnet」は、USBメモリを介して、ネットワークに接続されていないコンピュータへの感染を広げていくようになっていた。
Konovalov氏が発見した79件の脆弱性の一部は、2016年12月にGoogle Groupsのメーリングリストを通じて関連団体に報告されている。そして同氏は、2017年に入ってからも継続的に報告している。報告を受けたなかにはGoogleや、Linuxカーネル開発コミュニティー、Intel、The Linux Foundationが含まれている。
Konovalov氏は、9月と10月に同メーリングリストで多くの脆弱性を報告しており、その一部はLinuxカーネルのバージョン4.14のリリース候補(RC)版で発見されたものだ。それらはカーネル開発者らの手によって開発プロセスで対処済みだ。
Konovalov氏の報告のおかげで、カーネル開発者らは忙しい日々を送っている。同氏が最近報告したUSB関連の複数の脆弱性は、Linux 4.14のRC8版にも影響を与えている。Linus Torvalds氏は11月5日に同リリースを発表しており、その翌日にもKonovalov氏はUSB関連の脆弱性を複数発見している(そのうちのいくつかは修正済みだが、修正されていないものもある)。
Torvalds氏によると、Linux 4.14.0は12日にリリースされる予定だという。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
