*本内容は、2015年3月24日に米国Palo Alto Networksが発表した報道資料の抄訳版です。

2015324日(米国時間)カリフォルニア州サンタクララ発  – エンタープライズセキュリティのリーダーであるPalo Alto Networksは、本日、GoogleのAndroidモバイルオペレーティングシステム(OS)に存在し多くのユーザーに影響がある脆弱性を発見し詳細を公開しました。攻撃者はこの脆弱性を悪用し、デバイス上で一見安全に見えるAndroidアプリケーションのインストーラーファイル(APKファイル)を乗っ取ることで、ユーザーの認識なしに攻撃者が選んだ悪意あるアプリへ置き換えることができます。

この脆弱性は現時点でAndroidデバイスの約49.5パーセントのユーザーに影響があるとみられ、攻撃者によって「マルウェアの配布」、「デバイスの乗っ取り」、「ユーザーデータの不正な抜き取り」が行われる可能性があります。これを受けパロアルトネットワークスは本日、影響を受ける可能性のあるAndroidユーザー向けに、デバイスを診断できるアプリケーションを公開しました。

おとり商法のように進む攻撃を看過する脆弱性】
Palo Alto Networks Unit 42に所属する脅威研究者であるZhi Xu(ジー・スー)が発見したこの脆弱性は、Android 「パッケージインストーラー (PackageInstaller)」システムサービスの脆弱性を悪用し、攻撃者が乗っ取ったデバイスでユーザーに認識されずにすべての権限を取得することができます。具体的には以下の内容が明らかになっています。

  • Androidアプリケーションは機能を実行するために必要となるアクセス権限の一覧をインストール時に表示します。たとえば、「このメッセージアプリケーションは、SMSメッセージへのアクセスを必要とするがGPS位置情報は必要としない」、というものです。
  • 本脆弱性は攻撃者がユーザーをだまして、実際より少ない偽のアクセス権限を表示します。さらに個人情報やパスワードを含むユーザーデバイス上のサービスやデータにフルアクセスできる可能性があります。
  • ユーザーが懐中電灯アプリやモバイルゲームなどを明示された通りに限定されたアクセス権限をもってインストールしているはずが、実際には危険なマルウェアを実行してしまう可能性があります。

Palo Alto Networksの脅威インテリジェンスチーム「Unit 42」は、この脆弱性の影響を受けるユーザーを守り、影響があるAndroidのバージョンが修正できるようGoogleおよびSamsungやAmazonなどAndroidデバイスメーカーに協力しました。しかし、一部の旧バージョンを利用するAndroidデバイスは危険な状態にある可能性があります。

【Palo Alto Networksコメント】
「今回発見したAndroidの脆弱性により、正規アプリケーションを入手し、アクセス権限に承諾しているユーザーであっても、データの抜き取りやマルウェアの感染リスクにさらされてしまいます。ユーザーの皆さまには、ご自身のデバイスの保護状況をチェックするために、パロアルトネットワークスが提供する診断アプリケーションを利用するよう強く推奨します。また、GoogleSamsungAmazonの各社の協力と配慮に感謝します。」

      Palo Alto Networks Unit 42 インテリジェンス ディレクター ライアン・オルソン

【回避策】
本日公開された脆弱性は、サードパーティの提供元からダウンロードしたAndroidアプリケーションにのみ影響があり、Google Playからアクセスできるアプリケーションには影響がありません。Palo Alto NetworksAndroidデバイスを経由するマルウェアのリスクを懸念する企業に、以下の回避策を推奨します。

  • 脆弱性のあるデバイスでは、ソフトウェアアプリケーションをGoogle Playからのみインストールする。これらファイルは保護された領域にダウンロードされ、攻撃者に上書きされることはありません。
  • モバイルデバイスにAndroid 4.3_r0.9以降のバージョンを導入する。ただし一部のAndroid 4.3デバイスに脆弱性が認められていることに注意してください。
  • アプリにlogcatへのアクセス権限を与えない。logcatはシステムログであり、エクスプロイト(セキュリティの弱点を攻撃するツール)の単純化と自動化に使用される可能性があります。Android 4.1およびそれ以降のAndroidバージョンでは、システムや他のインストール済みアプリのlogcatにアプリがアクセスすることをデフォルトで禁止しています。しかしAndroid 4.1以降を使用するルート化されたモバイルデバイス上では、インストール済みアプリが他のアプリのlogcatへのアクセス権を取得できる可能性があります。
  • ユーザーにルート化(ユーザーの権限を変更してシステム操作をできるように改造すること)されたデバイスを社内ネットワークで使用させないでください。

【参考資料】
このAndroidの脆弱性についての詳細はUnit 42のブログを参照してください。また定期的な調査や分析結果もUnit 42のブログで参照できます。
http://researchcenter.paloaltonetworks.com/2015/03/android-installer-hijacking-vulnerability-could-expose-android-users-to-malware/

Androidインストーラーを通じた乗っ取りについて、脆弱性のあるAndroidデバイスの種類などを説明している動画をご覧いただけます。
http://youtu.be/81slOhjrZXY

診断アプリケーションは下記のWebサイトからダウンロードできます。
o     GitHub
https://github.com/PaloAltoNetworks-BD/InstallerHijackingVulnerabilityScanner

o     Google Play
http://play.google.com/store/apps/details?id=com.paloaltonetworks.ctd.ihscanner

最新の調査、アップデート、講演内容等はUnit 42のホームページ(英語)を参照してください
https://www.paloaltonetworks.com/threat-research.html

また、一部コンテンツの日本語版も参照できます。
https://www.paloaltonetworks.jp/company/in-the-news.html

パロアルトネットワークスのエンタープライズ セキュリティ プラットフォームの詳細は以下を参照してください。
https://www.paloaltonetworks.jp/products/platforms.html

Unit 42チームと Ignite 2015 で会い、セキュリティの重要な課題を解決しましょう。2015年3月30日から4月1日まで米国ラスベガスで開催される本イベントにはこちらから登録できます

【Unit 42について】
Palo Alto Networksの脅威インテリジェンスチームであるUnit 42は、熟練したサイバーセキュリティ研究者や業界の専門家で構成されています。Unit 42は最新の脅威情報を収集、調査、分析し、パロアルトネットワークスの顧客やパートナー、さらに広範なコミュニティと組織を保護するための見識を共有しています。Unit 42は定期的に世界中の業界カンファレンスに参加しています。

【パロアルトネットワークスについて】
パロアルトネットワークス(NYSE: PANW)は、サイバー攻撃から数多くの企業、行政機関、プロバイダのネットワークを守るサイバーセキュリティのリーディングカンパニーです。当社の提供するセキュリティ・プラットフォームは、変化の激しい今日のIT業界で重要となるアプリケーションやユーザー、コンテンツを基にセキュリティの保護を行い、お客様のビジネス展開をサポートします。詳しくはhttp://www.paloaltonetworks.jpをご覧ください。

Palo Alto Networks、Palo Alto Networksロゴは米国におけるPalo Alto Networksの商標です。本書に記述されているその他すべての商標、商号、サービスマークは、各所有者に帰属します。

【お客様からのお問い合わせ先】
パロアルトネットワークス合同会社
Tel: 03-3511-4050     Email: infojapan@paloaltonetworks.com

【報道関係者からのお問い合わせ先】
パロアルトネットワークスPR事務局
株式会社アクティオ
Tel: 03-5771-6426     Email: paloalto-pr@actioinc.jp