Google は、2016年3月18日(米国時間)、ルート権限取得(ルート化)用アプリに利用される深刻な脆弱性「CVE-2015-1805」について「Android Security Advisory」で公表しました。この脆弱性は当時危険度評価で中程度と認識されていたもので、2014年4月に Linuxカーネルにおいて修復されたはずでした。しかしその後、2015年2月、この脆弱性の深刻度により、「CVE-2015-1805」として CVE識別番号が割り当てられることになりました。2016年2月には、この脆弱性を突くエクスプロイトコードが確認され、いまだ攻撃に利用可能であることが判明。こうした背景から最も高い危険度へと修正され、Google は、3月16日、この脆弱性に対応する更新プログラムを公開しました。なお、同社は問題の脆弱性を利用するルート化アプリについても削除対応しています。
続きを読む2015年12月頃から特定の家庭用ルータやモデムの DNS設定の書き換えを行う不正な JavaScript(「JS_JITON」「JS_JITONDNS」として検出)が継続的に検知されています。問題の不正な JavaScript は、改ざんされた正規サイトに仕掛けられており、日本国内のサイトにおいても該当の改ざんを確認しています。このような活動は以前にも「家庭用ルータの DNS設定変更を行う不正プログラムを確認」で報告をしていますが、不正サイトへの誘導により、結果として不正プログラム感染や、アカウント認証情報の詐取などの被害に遭う恐れがあります。
続きを読むトレンドマイクロでは、2015年 1年間における国内外の脅威動向についての分析レポートを、2016年 2月29日に公開いたしました。その中で、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」の統計から、特に Android端末 を狙うモバイル不正アプリが累積 1,000万個を突破したことが報告されています。 2010年8月に最初の Android不正アプリの検出に対応して以来、5年を経たずしての 1,000万個到達となりました。特に 2015年には、それまでの 5年間で登場したおよそ 430万個を大きく超える、およそ 630万個がわずか 1年の間に登場しました。
続きを読む想像してみてください。いつも利用している銀行から Eメールが届き、モバイルアプリの更新版をインストールするよう依頼されます。アプリをダウンロードすると、管理者権限を要求されます。問題が発生したためと画面に表示され、あなたはその要求を許可します。アプリを動かしてみると正常に動作し、決済も問題なく行うことができました。
翌日、自分のスマートフォンがパスワードを認識しないことに気づきます。誰かにパスワードを変更されてしまったのでしょうか。しかし、スマートフォンは誰にも貸していないため、誰がどうやってパスワードを変更したのか見当もつきません。2回ほどパスワードを入力してみますが認識しません。あと数回のうちに正しいパスワードを入力できなければ、端末内の情報は自動的に消去されてしまいます。ロックを解除する方法を一日中考えている間に、銀行口座からお金が消えていました。
続きを読む年末年始のショッピングシーズンが過ぎ、さまざまな新しいスマート製品を手に入れた人も多いでしょう。「モノのインターネット(Internet of Things、IoT)」の中で最もよく使用されているのはスマートテレビです。スマートテレビは単に画面を映し出すだけでなく、その多くは Androidアプリも実行可能です。こうした機能は便利な一方、危険をもたらす恐れもあります。トレンドマイクロでは、2013年6月にスマートテレビに関する問題を最初に取り上げた際、こうした危険性に言及しています。
続きを読むトレンドマイクロでは、2015年第3四半期(7~9月)における国内外の脅威動向についての分析を行いました。この第3四半期、特に日本では「正規サイト汚染」を発端とした「脅威連鎖」による被害が顕著化しています。この「脅威連鎖」では、「不正広告」もしくは「Web改ざん」により、利用者を「脆弱性攻撃サイト」へ誘導し、金銭目的の不正プログラムを感染させます。
![図1:不正広告による攻撃の概念図](/wp-content/uploads/2015/11/151117comment01.jpg)
図1:不正広告による攻撃の概念図
中国の検索エンジン「百度(Baidu)」のソフトウェア開発キット(Software Develoment Kit、SDK)「Moplus」に「Wormhole」と呼ばれる脆弱性が確認され、この脆弱性が利用された場合の影響の深刻さゆえに波紋を呼んでいます。この脆弱性は、中国の脆弱性報告プラットホーム「WooYun.og」により確認されました。
しかしながら、トレンドマイクロがこの脆弱性について調査を進めたところ、Moplus SDK 自体にバックドア機能が備わっており、必ずしもそれが脆弱性に由来または関連しているわけではないことが明らかになりました。現時点で、この問題は Moplus SDK のアクセス許可制御とアクセスの制限方法にあると見られています。そのため、脆弱性が関係していると考えられているのですが、実際には、この SDK のバックドア機能により、ユーザ権限なしに以下を実行する恐れがあります。
- フィッシングサイトへの誘導
- 任意の連絡先の追加
- 偽のショート・メッセージ・サービス(SMS)送信
- リモートサーバへのローカルファイルのアップロード
- アプリをAndroid端末にインストール
これらのバックドア活動を実行する前に必要な前提条件は、端末をインターネットに接続するだけです。Moplus SDK は非常に多くの Androidアプリに取り入れられているため、1億人の Androidユーザが影響を受けたことになります。また、弊社の調査から、不正プログラムが既に Moplus SDK を利用していることが判明しています。
本稿では、Moplus SDK の不正なコードとそれが Android端末に及ぼす危険について説明します。
続きを読む