検索
  • サポート

  • Secure the Enterprise

  • Secure the Cloud

  • Secure the Future
  • その他
  • サポート

パロアルトネットワークス、 中国製AndroidデバイスCoolpadにバックドアを発見

CoolReaperは24機種のAndroid端末および
1,000万ユーザー以上に影響の恐れ

12 19, 2014 at 04:00 午前

*本内容は、2014年12月17日(米国時間)に米国Palo Alto Networksが発表した報道資料の抄訳版です。

2014年12月17日(米国時間)カリフォルニア州サンタクララ発 – エンタープライズセキュリティのリーダーであるPalo Alto Networks® (NYSE: PANW、以下パロアルトネットワークス) は米国時間12月17日、中国大手スマートフォンメーカーである宇竜計算機通信科技(英語表記:Yulong Computer Telecommunication Scientific)が販売した、数百万台のAndroid搭載モバイルデバイス「クールパッド」(中国語表記:酷派、英語表記:Coolpad、以下Coolpad)に存在するバックドアに関する詳細を明らかにしました。このバックドアは 「CoolReaper (クールリーパー)」 と呼ばれ、ユーザーを潜在的に悪意ある脅威にさらし、顧客からの反発にも関わらずCoolpadにインストールされ維持され続けています。

すでにパロアルトネットワークス製品はCoolReaperの脅威防止に対応しており、企業や組織のお客様の情報漏えいを未然に防ぐことが可能です。

Androidデバイスに追加機能やカスタマイズを提供するため、GoogleのAndroidモバイルオペレーティングシステム(OS)上にソフトウェアをインストールすることはデバイスメーカーにとって一般的であり、一部のモバイルキャリアではデバイス性能に関するデータを収集するアプリケーションをインストールしています。パロアルトネットワークスの脅威インテリジェンスチーム「Unit 42」の分析で、CoolReaperはCoolpadデバイスのバックドアとして機能し、基本的な使用状況データ収集の範疇を超えた動作が行われている事が明らかになりました。またCoolpadは、アンチウイルスプログラムがバックドアの検出を困難にするようにAndroid OSバージョンを改良しているようです。

パロアルトネットワークスの研究者であるクロード・シャオによって発見されたCoolReaperは販売されているCoolpadスマートフォンの24機種で確認されており、広く入手可能なCoolpadの販売状況から推測すると1,000万を超えるユーザーに影響を与える可能性があります。

コメント:

「Androidの端末メーカーは、機能提供やアプリケーションを最新に保つため、デバイスにソフトウェアをプリインストールしているのだと想定しています。しかし、この報告書に詳述されたCoolReaperバックドアはユーザーの想定をはるかに超え、メーカーが感染デバイスを完全に制御でき、ソフトウェアをアンチウイルスプログラムから隠蔽し、ユーザーが悪意ある攻撃者から無防備なままにしてしまいます。我々はCoolReaperの影響を受ける可能性のある何百万ものCoolpadユーザーがバックドアの存在についてデバイスを調査し、データを保護するための対策を取ることをお勧めします。」

– Palo Alto Networks Unit 42 インテリジェンス ディレクター ライアン・オルソン

CoolReaperの背景と影響

CoolReaperに関する調査結果は、クロード・シャオとライアン・オルソンによって執筆されたUnit 42の新しいレポート「CoolReaper: The Coolpad Backdoor」 により本日公開されました。パロアルトネットワークスはこのレポートの中で、CoolpadデバイスでCoolReaperバックドアの存在を確認するファイルのリストも公開しています。

研究者によって報告されたように、CoolReaperは以下の処理を実行でき、そのいずれもがユーザーや企業の機密データを危険にさらします。さらに、悪意ある攻撃者はCoolReaperのバックエンド制御システムで見つかった脆弱性を悪用する可能性があります。

CoolReaper で実施できること:

· ユーザーの同意または通知なしにAndroidアプリケーションをダウンロード、インストール、アクティベートする

· ユーザーデータのクリア、既存アプリケーションのアンインストール、システムアプリケーションの無効化

· デバイス更新を行わずに不要なアプリケーションをインストールする、偽のOTA (over-the-air) アップデートをユーザーに通知

· スマートフォンに恣意的なSMSやMMSメッセージを送信または挿入

· 恣意的な電話番号をダイヤル

· デバイスに関する情報、場所、アプリケーション使用状況、電話やSMS履歴をCoolpadサーバーにアップロード

 

Coolpadの認知

Unit 42 は中国のCoolpadの顧客から多数の苦情がインターネットの掲示板に投稿されたのを受け、CoolReaperとして知られるようになったものを注視し始めました。11月に、Wooyun.orgの研究者がCoolReaperのバックエンド制御システムの脆弱性を特定し、Coolpadがこのソフトウェアでバックドアを制御する方法を明らかにしました。また中国のニュースサイトAqniu.comは、2014年11月20日に掲載された記事の中でバックドアの存在とその不正使用に関する詳細を報告しました。

2014年12月17日時点で、Coolpadはパロアルトネットワークスからの複数の支援要請に応答していません。GoogleのAndroidセキュリティチームにもこのレポートに含まれるデータが提供されています。

ユーザーの保護

CoolReaperのすべての既知サンプルはWildFire™においてマルウェアであると識別されています。WildFireはパロアルトネットワークス脅威インテリジェンスクラウドの主要要素であり、アプリケーションからの脅威を仮想環境で実行することによって特定し、感染デバイスを識別するためにパロアルトネットワークスのGlobalProtectとその情報を自動的に共有します。

また、CoolReaperが使用する既知のすべてのコマンド アンド コントロール (C&C) 用URLはパロアルトネットワークスの脅威防御製品において悪意あるものとして識別され、C&CサーバーやURLが変更された場合でも顧客はデータ漏えいを防ぐことが可能です。

パロアルトネットワークスは悪意あるCoolReaperのC&Cトラフィックの検出やブロックに利用できるシグネチャも作成しました。これはC&Cサーバーが新しい場所に変更された場合でも有効です。

CoolReaperの調査結果は、危険なアプリケーションの検出と予防の両方の観点で、脅威インテリジェンスとトラフィック検査を組み合わせた包括的なモバイルセキュリティの必要性をさらに高めるものです。 パロアルトネットワークスのGlobalProtectは、秘匿または悪意ある活動に関するモバイルコンテンツの継続的な分析機能を含む、高度なサイバー脅威に対する保護を組織に提供します。

その他参考情報:

· 「Cool Reaper: The Coolpad Backdoor」は下記のURLより入手できます(英語)

https://www.paloaltonetworks.com/resources/research/cool-reaper.html

· パロアルトネットワークスの脅威インテリジェンスチームによる最新の調査、アップデート、講演内容などはUnit 42 リサーチセンターを参照してください (英語)https://www.paloaltonetworks.com/threat-research.html

· 定期的な調査や分析結果の入手には下記URL先の「Unit 42 ブログ」を購読してください(英語)http://researchcenter.paloaltonetworks.com/unit42/

· パロアルトネットワークスのエンタープライズセキュリティプラットフォームの詳細情報およびCoolReaperに対する保護を提供する方法についてはこちらを参照してください

· 米国ラスベガスで開催される自社イベント「Ignite 2015(2015年3月30日〜4月1日)」にUnit 42チームが参加します。困難なセキュリティ課題を解決できるイベントに奮ってご参加下さい。参加登録はこちらから

 

Unit 42について:

パロアルトネットワークスの脅威インテリジェンスチームであるUnit 42は、熟練したサイバーセキュリティ研究者や業界の専門家で構成されています。Unit 42は最新の脅威情報を収集、調査、分析し、パロアルトネットワークスの顧客やパートナー、さらに広範なコミュニティと組織を保護するための見識を共有しています。Unit 42は定期的に世界中の業界カンファレンスに参加しています。

【パロアルトネットワークスについて】
パロアルトネットワークス(NYSE: PANW)は、サイバー攻撃から数多くの企業、行政機関、プロバイダのネットワークを守るサイバーセキュリティのリーディングカンパニーです。当社の提供するセキュリティ・プラットフォームは、変化の激しい今日のIT業界で重要となるアプリケーションやユーザー、コンテンツを基にセキュリティの保護を行い、お客様のビジネス展開をサポートします。詳しくはこちらをご覧ください。

Palo Alto Networks、"The Network Security Company"、Palo Alto Networksロゴ、WildFireは米国におけるPalo Alto Networksの商標です。

本書に記述されているその他すべての商標、商号、サービスマークは、各所有者に帰属します。

 

【お客様からのお問い合わせ先】

パロアルトネットワークス合同会社

Tel: 03-3511-4050  Email: infojapan@paloaltonetworks.com

 

【報道関係者からのお問い合わせ先】

パロアルトネットワークスPR事務局 株式会社アクティオ

Tel: 03-5771-6426  Email: paloalto-pr@actioinc.jp

 


 

ニュース

Wireshark によるパケット解析講座 2

前回は Wiresharkの列表示のカスタマイズ方法について見ていきました。本稿では脅威インテリジェンスの調査上便利なフィルタリングの設定方法について説明します。
January 20, 2019

ニュース

Wireshark によるパケット解析講座 3

前回までではWiresharkの列表示のカスタマイズ方法と表示フィルタの式について見ていきました。本稿ではトラフィックから感染ないし侵害を受けたホスト名やユーザーを特定する方法について説明します。
March 31, 2019

ニュース

Wireshark によるパケット解析講座 4

セキュリティ専門家は、不審なアクティビティのパケット キャプチャ(pcap)をレビューする際、より詳しく調べるために、オブジェクトをpcapからエクスポートしなければならない場合があります。
July 12, 2019

ニュース

DNSトンネリング: 攻撃者はDNSをどう悪用するのか

悪意のある攻撃者は、ドメインネームサービス(DNS)をコマンド&コントロール(C2)用通信チャネルとして悪用してきました。またこのプロトコルはこのほかに、データを漏出させる目的でも悪用されてきました。DNS の悪用はC2に「ハートビート」接続のために通信するという用途からさらに広がっており、攻撃者はここ数年、悪意のあるデータやペイロードをDNS経由で被害者のシステムに侵入させる用途にもDNSを使っています。本稿では、DNSを悪用したデータ侵入・漏出の種類、方法、使用方法を紹介し、その防御メカニズムへの指針を示します。
March 18, 2019

ニュース

Wireshark によるパケット解析講座 1

Wireshark は無料で利用できるプロトコル アナライザです。 Wireshark を使うとネットワーク トラフィックをキャプチャしたり、キャプチャしたパケットを表示させることができます。そこでパロアルトネットワークスの脅威インテリジェンス調査チーム Unit42 に所属するアナリストが、Wireshark を使ってマルウェア検体が生成したトラフィックをレビューするさいに利用している便利な使いかたをご紹介していきます。
January 17, 2019

ニュース

Cortex XDRの紹介

パロアルトネットワークスは、セキュリティの最先端を行く3つのイノベーションを発表しました。これらのイノベーションによって、セキュリティ業界の変革に挑もうとしています。まず1つ目は、ディテクション(検知)・調査・レスポンスSaaSアプリケーションCortex XDRです。これは、高度な攻撃をディテクションして阻止するだけでなく、将来のサイバー攻撃に備えて防御機能を絶えず進化させ、セキュリティ運用をサポートするSaaS型のアプリケーションです。
April 14, 2019

メールニュース購読

インテリジェントなネットワーク セキュリティの開始地点

このフォームを送信すると、利用規約とプライバシーに関する声明に同意したことになります 。
Subscription Reward

リソース

  • 会社概要
  • イベント
  • リソースセンター
  • プレスリリース
  • Unit42 ブログ
  • ブログ
  • JAPAN LIVE COMMUNITY
  • Tech Docs
  • キャリア
  • お問い合わせ
  • Sitemap

法定通知

  • プライバシー
  • 個人情報保護基本方針
  • 利用規約

アカウント

  • 購読の管理
  • パートナーログイン
  • パートナーになる
脆弱性の報告
  • USA (ENGLISH)
  • AUSTRALIA (ENGLISH)
  • BRAZIL (PORTUGUÉS)
  • CANADA (ENGLISH)
  • CHINA (简体中文)
  • FRANCE (FRANÇAIS)
  • GERMANY (DEUTSCH)
  • INDIA (ENGLISH)
  • ITALY (ITALIANO)
  • JAPAN (日本語)
  • KOREA (한국어)
  • LATIN AMERICA (ESPAÑOL)
  • MEXICO (ESPAÑOL)
  • SINGAPORE (ENGLISH)
  • SPAIN (ESPAÑOL)
  • TAIWAN (繁體中文)
  • UK (ENGLISH)
  • Facebook
  • Linkedin
  • Twitter
  • Youtube

© 2020 Palo Alto Networks, Inc. All rights reserved.