Androidのセキュリティ脅威 その2
Android使用者にとってまたまたまた衝撃のニュースが入ってきました。
なんと、Android端末ならほぼ間違いなくインストールされている、あるソフトウェアに脆弱性があるということです。この脆弱性は先日東京で開催された、世界のセキュリティ専門家が集まるカンファレンス「PacSec」にて明らかにされました。その脆弱性を持っていたとされるソフトウェアは…なんと「Google Chrome」です。
脆弱性の内容
今回報告された脆弱性はGoogle Chromeに関する脆弱性で、この脆弱性を利用することでAndroidOS上で任意のアプリケーションをインストールすることが可能になるというものです。実行するアプリ次第では端末を乗っ取ることも可能になります。最新のソフトウェアを搭載したAndroid端末でも乗っ取ることが可能とのことで、カンファレンスでは箱から取り出したばかりの最新のOSを搭載した端末を乗っ取る様子を実演したそうです。その際はゲームを動かしただけのようですが、もしそれが悪意のあるアプリだったらと考えると恐ろしいですね。
また、その方法ですが悪意のあるコードを埋め込んだweb siteにchromeを利用してアクセスするだけです。特別なツールを使うことなく端末を乗っ取ることができてしまいます。
先日の記事1や先日の記事2とは異なり、悪意のあるweb siteにchromeを利用してアクセスするだけで乗っ取ることができるため、より一層注意が必要です。
ゼロデイ攻撃に注意
今回の脆弱性は最新のOSでも影響を受けるものとなっています。対策については現在進行形で行われていますが、まだ解決していません。そのためゼロデイ攻撃などに注意が必要です。「ゼロデイ攻撃」とは、脆弱性が発見されてから修正プログラムなどによって対応されるまでの間に、その脆弱性を利用して攻撃を行うことです。
ゼロデイ攻撃は脆弱性の存在がわかっていながら対応が難しいのが特長です。
対処方法
今回の脆弱性は現在対応中です。そのため対処法としては、chromeを使用しないということが挙げられます。しかし、chromeは便利なので完全に利用しないのは難しいと感じる人も少なくないと思います。そこで最低限の防御方法として基本事項の徹底を行うことで少しでもリスクを避けましょう。
1.企業や政府などのオフィシャルサイト以外の怪しいサイトは(chromeでは)開かない。怪しいファイルも開かない。誰がアップロードしたのかわからないファイル、ちょっぴりエoチな動画像なんてもってのほかです。(企業や政府のサイトでも乗っ取りや書き換えが行われる場合もあるので100%安全とは言い切れませんのでその点は要注意です)
2.アクセスする前にURLをもう一度確認する。特に、~.ne.jp.hoge(jpドメインに見えて実は、hogeドメイン)やg00gle.com、goog1e.com、google.con(いずれも微妙に綴りが違う)など、紛らわしいものの中にはぐへへへへ、あなたのPCちゃんにうぃるすうつしちゃうゾ〜(aqa)とか考えてウィルスへ感染させようとするサイトもあるので危険です。
(綴りの紛らわしいすべてのサイトがそうではありません。例で挙げたURLはあくまでも綴りの違いを示すために挙げたものです。実際に悪意があるサイトとは限りません、念のため。また、どんなサイトでもアクセスする場合は自己責任で行ってください。)
もちろん、怪しいと思った場合はchrome以外でも開いちゃダメです。危ないサイトは基本的に何で開いても危険です。
3.更新情報が届いたらすぐに更新してアプリを最新の状態に保つ。面倒くさがらずに更新しましょう。更新したらアプリが動かない。。。ナンテコッタイ(^O^)/ となっても泣かない
以上をはじめとした基本事項を今一度徹底しましょう。
補足
脆弱性について補足すると、「〇〇に脆弱性があった!?脆弱性があるなんてとんでもない!!〇〇を使うなんてやめて、XXに乗り換えるぞ!!」と短絡的に考えがちですが、脆弱性が存在しないものは無いと思っていいです。大切なのは普段からセキュリティに関心を持ち、脆弱性があればそれを把握すること、自分にできる対処方法を知っておくことです。脆弱性があったから使うのをやめようでは使えるものはなくなります。むしろ「脆弱性を公開しなかったので対応策も研究されませんでした。その結果、或る日突然何万台のPCやスマホが攻撃されました」という方が何万倍も危険です!
それでも脆弱性は嫌だから乗り換える、というそこのあなた、そこまで言うなら止めません。がそれだけ言っておいてまさかPCはwindowsとか、MacやLinuxだったら絶対に安全なんて幻想を抱いてたりとか、「新品は高いから中古で買おう」とか考えてたら・・・おにいさん泣いちゃうゾ(ToT)
まとめ
脆弱性の無いものは無いと思って差支えありません。ありませんが、企業側もきちんと対策をとっています。例えばwindowsがアップデートされるのは、機能の刷新の他に日々新たに見つかる脆弱性に対応しているからです。もちろんAndroidや他のOS、他のソフトウェアだってそうです。大切なのは普段からセキュリティを意識する習慣を身につけることです。
※本記事についてはこちらの投稿とこちらの報道をもとに作成いたしました。また、同脆弱性について、詳細はCVE-2015-6612をごらんください。
要チェック!!Androidアプリのインストール時のチェック項目
今回の件に限ったことではありませんが、アプリをインストールする際は以下の項目をチェックすることでAdwareやウィルスなどにかかるリスクを低減できます。アプリをインストールする際は面倒くさがらずにチェックする習慣を身に付けましょう。
・開発元のチェック
Twitterの公式アプリのはずなのに開発元がわけのわからない会社名だったり、Twltterのように、よく似た別の名前だったりした場合は偽者の可能性があります。ほかの判断材料と併せてインストールするかどうか判断しましょう。
・ダウンロード数のチェック
LINEのように大ヒットしたアプリなのに、ダウンロード数が1000件といったように、有名なアプリのはずなのにあまりにもダウンロードが少ない場合も偽者の可能性が高いです。バージョンアップの直後で本物のアプリがたまたまダウンロード数が少ない、という場合も考えられますが、こちらもほかの材料と併せてインストールするかどうか判断しましょう。
・アプリの要求している権限のチェック
アプリの要求してくる権限の詳細を確かめることは、不振な動きをするアプリがインストールされることを防ぐのに有効な手段です。例えばただのカメラのはずなのにインターネットアクセスの権限を要求したり、オフラインのゲームアプリなのに位置情報を要求したり、無料の音楽プレイヤーのはずなのに課金の権限を要求したりetc…といった様に、絶対に必要が無いはずの権限を要求してくるアプリは怪しい動きをするかもしれません。ほかの材料と併せてインストールするかどうか判断しましょう。
※普通のアプリでも、例えば無料でアプリを提供するために広告表示を導入しているアプリなどは、広告表示のためにインターネットに接続する権限を要求する、といった場合もあります。何でもかんでも怪しいとも言い切れません。
※先日の記事1や先日の記事2にもAndroidのセキュリティに関する情報が載っております。併せてご覧ください。