*本内容は、2014年12月17日(米国時間)に米国Palo Alto Networksが発表した報道資料の抄訳版です。

20141217日(米国時間)カリフォルニア州サンタクララ発 – エンタープライズセキュリティのリーダーであるPalo Alto Networks® (NYSE: PANW、以下パロアルトネットワークス) は米国時間12月17日、中国大手スマートフォンメーカーである宇竜計算機通信科技(英語表記:Yulong Computer Telecommunication Scientific)が販売した、数百万台のAndroid搭載モバイルデバイス「クールパッド」(中国語表記:酷派、英語表記:Coolpad、以下Coolpad)に存在するバックドアに関する詳細を明らかにしました。このバックドアは 「CoolReaper (クールリーパー)」 と呼ばれ、ユーザーを潜在的に悪意ある脅威にさらし、顧客からの反発にも関わらずCoolpadにインストールされ維持され続けています。

すでにパロアルトネットワークス製品はCoolReaperの脅威防止に対応しており、企業や組織のお客様の情報漏えいを未然に防ぐことが可能です。

Androidデバイスに追加機能やカスタマイズを提供するため、GoogleのAndroidモバイルオペレーティングシステム(OS)上にソフトウェアをインストールすることはデバイスメーカーにとって一般的であり、一部のモバイルキャリアではデバイス性能に関するデータを収集するアプリケーションをインストールしています。パロアルトネットワークスの脅威インテリジェンスチーム「Unit 42」の分析で、CoolReaperはCoolpadデバイスのバックドアとして機能し、基本的な使用状況データ収集の範疇を超えた動作が行われている事が明らかになりました。またCoolpadは、アンチウイルスプログラムがバックドアの検出を困難にするようにAndroid OSバージョンを改良しているようです。

パロアルトネットワークスの研究者であるクロード・シャオによって発見されたCoolReaperは販売されているCoolpadスマートフォンの24機種で確認されており、広く入手可能なCoolpadの販売状況から推測すると1,000万を超えるユーザーに影響を与える可能性があります。

コメント:

「Androidの端末メーカーは、機能提供やアプリケーションを最新に保つため、デバイスにソフトウェアをプリインストールしているのだと想定しています。しかし、この報告書に詳述されたCoolReaperバックドアはユーザーの想定をはるかに超え、メーカーが感染デバイスを完全に制御でき、ソフトウェアをアンチウイルスプログラムから隠蔽し、ユーザーが悪意ある攻撃者から無防備なままにしてしまいます。我々はCoolReaperの影響を受ける可能性のある何百万ものCoolpadユーザーがバックドアの存在についてデバイスを調査し、データを保護するための対策を取ることをお勧めします。」

– Palo Alto Networks Unit 42 インテリジェンス ディレクター ライアン・オルソン

CoolReaperの背景と影響

CoolReaperに関する調査結果は、クロード・シャオとライアン・オルソンによって執筆されたUnit 42の新しいレポート「CoolReaper: The Coolpad Backdoor」 により本日公開されました。パロアルトネットワークスはこのレポートの中で、CoolpadデバイスでCoolReaperバックドアの存在を確認するファイルのリストも公開しています。

研究者によって報告されたように、CoolReaperは以下の処理を実行でき、そのいずれもがユーザーや企業の機密データを危険にさらします。さらに、悪意ある攻撃者はCoolReaperのバックエンド制御システムで見つかった脆弱性を悪用する可能性があります。

CoolReaper で実施できること:

· ユーザーの同意または通知なしにAndroidアプリケーションをダウンロード、インストール、アクティベートする

· ユーザーデータのクリア、既存アプリケーションのアンインストール、システムアプリケーションの無効化

· デバイス更新を行わずに不要なアプリケーションをインストールする、偽のOTA (over-the-air) アップデートをユーザーに通知

· スマートフォンに恣意的なSMSやMMSメッセージを送信または挿入

· 恣意的な電話番号をダイヤル

· デバイスに関する情報、場所、アプリケーション使用状況、電話やSMS履歴をCoolpadサーバーにアップロード

 

Coolpadの認知

Unit 42 は中国のCoolpadの顧客から多数の苦情がインターネットの掲示板に投稿されたのを受け、CoolReaperとして知られるようになったものを注視し始めました。11月に、Wooyun.orgの研究者がCoolReaperのバックエンド制御システムの脆弱性を特定し、Coolpadがこのソフトウェアでバックドアを制御する方法を明らかにしました。また中国のニュースサイトAqniu.comは、2014年11月20日に掲載された記事の中でバックドアの存在とその不正使用に関する詳細を報告しました。

2014年12月17日時点で、Coolpadはパロアルトネットワークスからの複数の支援要請に応答していません。GoogleのAndroidセキュリティチームにもこのレポートに含まれるデータが提供されています。

ユーザーの保護

CoolReaperのすべての既知サンプルはWildFire™においてマルウェアであると識別されています。WildFireはパロアルトネットワークス脅威インテリジェンスクラウドの主要要素であり、アプリケーションからの脅威を仮想環境で実行することによって特定し、感染デバイスを識別するためにパロアルトネットワークスのGlobalProtectとその情報を自動的に共有します。

また、CoolReaperが使用する既知のすべてのコマンド アンド コントロール (C&C) 用URLはパロアルトネットワークスの脅威防御製品において悪意あるものとして識別され、C&CサーバーやURLが変更された場合でも顧客はデータ漏えいを防ぐことが可能です。

パロアルトネットワークスは悪意あるCoolReaperのC&Cトラフィックの検出やブロックに利用できるシグネチャも作成しました。これはC&Cサーバーが新しい場所に変更された場合でも有効です。

CoolReaperの調査結果は、危険なアプリケーションの検出と予防の両方の観点で、脅威インテリジェンスとトラフィック検査を組み合わせた包括的なモバイルセキュリティの必要性をさらに高めるものです。 パロアルトネットワークスのGlobalProtectは、秘匿または悪意ある活動に関するモバイルコンテンツの継続的な分析機能を含む、高度なサイバー脅威に対する保護を組織に提供します。

その他参考情報:

· 「Cool Reaper: The Coolpad Backdoor」は下記のURLより入手できます(英語)

https://www.paloaltonetworks.com/resources/research/cool-reaper.html

· パロアルトネットワークスの脅威インテリジェンスチームによる最新の調査、アップデート、講演内容などはUnit 42 リサーチセンターを参照してください (英語)https://www.paloaltonetworks.com/threat-research.html

· 定期的な調査や分析結果の入手には下記URL先の「Unit 42 ブログ」を購読してください(英語)http://researchcenter.paloaltonetworks.com/unit42/

· パロアルトネットワークスのエンタープライズセキュリティプラットフォームの詳細情報およびCoolReaperに対する保護を提供する方法についてはこちらを参照してください

· 米国ラスベガスで開催される自社イベント「Ignite 2015(2015年3月30日〜4月1日)」にUnit 42チームが参加します。困難なセキュリティ課題を解決できるイベントに奮ってご参加下さい。参加登録はこちらから

 

Unit 42について:

パロアルトネットワークスの脅威インテリジェンスチームであるUnit 42は、熟練したサイバーセキュリティ研究者や業界の専門家で構成されています。Unit 42は最新の脅威情報を収集、調査、分析し、パロアルトネットワークスの顧客やパートナー、さらに広範なコミュニティと組織を保護するための見識を共有しています。Unit 42は定期的に世界中の業界カンファレンスに参加しています。

【パロアルトネットワークスについて】
パロアルトネットワークス(NYSE: PANW)は、サイバー攻撃から数多くの企業、行政機関、プロバイダのネットワークを守るサイバーセキュリティのリーディングカンパニーです。当社の提供するセキュリティ・プラットフォームは、変化の激しい今日のIT業界で重要となるアプリケーションやユーザー、コンテンツを基にセキュリティの保護を行い、お客様のビジネス展開をサポートします。詳しくはこちらをご覧ください。

Palo Alto Networks、"The Network Security Company"、Palo Alto Networksロゴ、WildFireは米国におけるPalo Alto Networksの商標です。

本書に記述されているその他すべての商標、商号、サービスマークは、各所有者に帰属します。

 

【お客様からのお問い合わせ先】

パロアルトネットワークス合同会社

Tel: 03-3511-4050  Email: infojapan@paloaltonetworks.com

 

【報道関係者からのお問い合わせ先】

パロアルトネットワークスPR事務局 株式会社アクティオ

Tel: 03-5771-6426  Email: paloalto-pr@actioinc.jp