※本記事は2017年9月7日に米国で掲載されたブログ記事の抄訳版となります。

 

Palo Alto Networksの脅威インテリジェンスチームUnit 42は、Googleの Androidプラットフォームに影響する新しい深刻な脆弱性を公開しました。この脆弱性のためのパッチは、2017年9月のAndroidのセキュリティに関する公開情報(英語)で入手可能です。この脆弱性は、最新バージョンのAndroid 8.0 Oreo(英語)には影響しませんが、それより前のすべてのバージョンのAndroidに影響します。この記事で取り上げるいくつかの経路を悪用しているマルウェアが存在しますが、現時点でUnit 42は、この特定の脆弱性に対するアクティブな攻撃は認識していません。Android 8.0は比較的最近リリースされたため、多くのAndroidユーザーはこの脆弱性に対処するために更新を適用する必要があります。

 

今回発見されたのは、Androidプラットフォームで既知の攻撃タイプである“オーバーレイ攻撃”をより簡単に行える脆弱性です。オーバーレイ攻撃は、多くの場合、ユーザーのAndroidデバイスに悪意のあるソフトウェアを忍び込ませるために使用されます。また、デバイス全体の制御権を与えるための悪意あるソフトウェアにも使用されます。この攻撃による最悪なシナリオは、この脆弱性を使用して電話を使用できない状態(操作不能)にしたり、ランサムウェアや情報窃取マルウェアなどに代表されるマルウェアをインストールしたりします。つまりこの脆弱性は、デバイスを制御、ロック、およびデバイスより情報を窃取するための攻撃に使用される可能性をはらんでいます。

 

“オーバーレイ攻撃”は、攻撃者がデバイスで実行中の他のウィンドウおよびアプリに、ウィンドウを上書きする(オーバーレイする)攻撃です。攻撃が成功すると、ユーザー本来のウィンドウをクリックしていると思わせ、実際には別のウィンドウをクリックさせることができます。図1は、ユーザーがパッチをインストールするためにクリックしているように見せ掛け、実際にはデバイスのフル管理者権限をPorn Droidマルウェアに許可させている例です。

 

図1: 管理権限を要求するマルウェアをオーバーレイしている偽のパッチ インストーラー

 

この図のように、ユーザーが無意識のうちにマルウェアをインストールさせられることがわかります。また、マルウェアにデバイスのフル管理権限を許可するためにも使用されます。

 

オーバーレイは、デバイス上に消えないウィンドウを立ち上げることで、デバイスでサービス拒否状態を生み出すために使用されることもあります。これは明らかに、モバイルデバイスへのランサム攻撃で攻撃者が使用するアプローチです。

 

またオーバーレイ攻撃は、次の3つすべてを単一の攻撃で成し遂げるためにも使用できます。

1.      デバイスにマルウェアをインストールさせる

2.      マルウェアにデバイスのフル管理権限を許可させる

3.      オーバーレイ攻撃を使用してデバイスをロックし、身代金の人質として保持する

 

オーバーレイ攻撃は新しいものではなく、以前から話題にはなっています。しかし、今までのところ、IEEE Security & Privacyペーパー(英語)の最新の調査に基づくと、オーバーレイ攻撃を試みるアプリには、2つの大きな障害があるとされていました。

 

1.      インストール時に、明示的に“上書き”権限をユーザーに要求しなければならない

2.      Google Playからインストールされなければいけない

 

これらは大きな攻撃軽減の要因であるため、これまでオーバーレイ攻撃は深刻な脅威とはみなされていませんでした。

 

しかし、Unit 42の発見した脆弱性により、これらの軽減要因を必要とせずオーバーレイ攻撃が行えることが明らかになっています。悪意あるアプリがこの新しい脆弱性を利用した場合、デバイスにインストールしただけでオーバーレイ攻撃を実行できてしまいます。これは、Google Play以外のWebサイトやアプリストアからの悪意あるアプリがオーバーレイ攻撃を実行できることを意味しています。Google Play以外のWebサイトやアプリストアからのアプリは、世界中でAndroidマルウェアの供給源となっているのが現状です。

 

この脆弱性は、“トースト”(英語)として知られるAndroid機能に影響を及ぼします。“トースト”は、画面上に(トーストのように)“ポップ”表示される通知ウィンドウの1つです。“トースト”は、通常、他のアプリの上にメッセージや通知を表示するために使用されます。

 

Androidの他のウィンドウと異なり、トーストは同じ許可を要求しません。そのため、以前のオーバーレイ攻撃の軽減要因はここでは当てはまりません。さらに、Unit 42のリサーチャーは、どのように画面全体をオーバーレイするトースト ウィンドウを作成できるか、そのトーストを使用して通常のアプリ ウィンドウと同等の機能を作成できるかを確認しています。

 

今回の調査結果を考慮すると、オーバーレイ攻撃のリスクはこれまで以上に大きくなっています。幸いにも、最新バージョンのAndroidでは、“特に設定なく”これらの攻撃から免れられます。ただし、Androidを使用している大半の人々が、脆弱なバージョンを利用しています。つまり、8.0より前のバージョンのすべてのAndroidユーザーには、デバイスの更新を取得することが急務です。モバイル通信事業者または携帯電話メーカーから、パッチと更新の入手可能性に関する情報を得ることができます。

 

悪意のあるアプリからの最善な防御の1つは、Androidセキュリティ チームが悪意あるアプリを検査し、排除しているGoogle Playのみから使用するAndroidアプリをダウンロードすることです。