Googleは通常、既知の脆弱性、パッチ、どのような種類のマルウェアに対抗しているのかについて、常に口を閉ざしています。これは、ハッカーや他の悪意ある人たちがまだ見つけていないような重要な脆弱性を告知するのを避けることで、アンドロイドユーザーを守るためでもありますが、アンドロイドユーザーが自分の端末を安全に保つために必要なセキュリティアップデートに常に注意を払っているとは限らないということでもあります。
もしあなたがアンドロイドのバージョン11、12、12L、13を使用しているアンドロイドユーザーで、最新のパッチ後にまだデバイスをアップデートしていないのであれば、すぐに端末でアップデートする必要があります。
お使いの端末が最近アップデートされたかどうか、またお使いの端末が使用しているアンドロイドのバージョンを確認するには、端末設定の「電話について」「端末について」「ソフトウェアについて」タブで確認することができます。
ここでは、最新のandroidセキュリティ情報、最新のセキュリティパッチ、およびパッチが適用される脆弱性に関してわかっていることについて説明します。
Androidパッチ、2つの重要なセキュリティ脆弱性と多くの高重篤度脆弱性を修正
数個のセキュリティ脆弱性だけに対応したパッチが提供されることは非常に稀です。ほぼすべてのセキュリティパッチには、重要な脆弱性とともに低リスクの脆弱性にもパッチを当てる、幅広い緩和タスクが含まれることになります。
ほとんどのユーザーは、重要な脆弱性に関心を持つべきです。その他のセキュリティ問題は、それほど重要ではありませんが、一部のユーザーにとって関連や必要性があることもあります。またより重要である場合に備え、情報開示メッセージやアンドロイドのセキュリティログの内容に関心を払いましょう。
2023年3月5日に出た最新のセキュリティパッチのラウンドでは、2つの重要な脆弱性にパッチを適用しています。CVE-2023-20951とCVE-2023-20954で、どちらもRCE、つまりリモートコード実行の脆弱性です。
リモートコード実行の脆弱性は、今回のように、追加の実行権限を必要とせずにリモートコード実行を許してしまう場合があるため、特に重要です。
基本的に、この脆弱性は、ユーザーが実行を承認することなく、挿入されたコードをハッカーが実行、または使用することを可能にすることを意味し、多くの場合、直接の対話は全く必要ありません。
つまり、この種のサイバーセキュリティの脅威は、あなたが何もしなくてもモバイル端末上に存在する可能性があり、追跡が困難になる可能性もあります。多くの場合、これらのリモートコード実行の脆弱性は、ユーザーの知らない間にマルウェアをインストールさせることができます。
最新のパッチをダウンロードしていれば、これら2つの重要な脆弱性は解消されています。
さらに、このセキュリティアップデートでは、メモリ破壊の脆弱性であるCVE-2022-33213とCVE-2022-33256のパッチも適用されています。この種の脆弱性は、明示的な割り当てなしにメモリが変更された場合に発生し、その方法と場所によって、ハッカーがさまざまなことを行うために悪用できるさまざまな脆弱性が開かれる可能性があります。
この最新のアップデートでは、他にもかなりの数の脆弱性にパッチが適用されています。より詳細な変更履歴や、パッチが適用された特定の脆弱性の詳細については、3月のAndroid Security Bulletinを参照してください。
Googleは、ハッカーが脆弱性を悪用するのに役立つ情報を提供しないように、脆弱性情報を比較的限定的に保つ傾向があることを覚えておいてください。
Android端末の重大な脆弱性とは?
重要な脆弱性とは、ハッカーによって影響を受ける端末に対して、高度なアクセスやコントロールを与える可能性のある脆弱性のことです。この脆弱性によって、ランサムウェアがインストールされ、ユーザーが特定の条件に同意しない限り、デバイスを使用不能にしたり、データを消去したりすることができるようになることがあります。
大規模なシステムに対する深刻なランサムウェア攻撃によって、この種の攻撃は特に脅威となっていますが、選択肢はこれだけではありません。
重要な脆弱性によって、ハッカーが端末へのアクセスを拒否するサービス拒否攻撃(DoS攻撃)が可能になることもあります。しかし、このような攻撃は、端末に保存されているデータや情報を外部に提供する訳ではなく、他のマルウェアがデータのマイニングや端末を悪用しない限り、最悪の事態ではありません。
一般に、重要な脆弱性とは、ハッカーによって端末が何らかの方法で完全に制御されることを意味します。マルウェアがインストールされると、特権の昇格を伴うことがあり、多くの場合、ユーザーが何もしなくても攻撃が開始されます。
この中で最も脅威となるのは、いわゆるゼロデイ脆弱性です。これは、脆弱性を特定したセキュリティチームやセキュリティ研究者が、その問題に取り組むための期間が0日であったことを意味します。ゼロデイ脆弱性は、システムの保護に携わるセキュリティ研究者が修正する機会を得る前に、ハッカーが脆弱性を特定し利用したことを意味する場合もあります。
脆弱性の中には、AndroidのGoogle Playストアを介してもたらされるものもありますが、古いAndroidシステムを使用している場合、Bluetoothを含む他のシステム接続も脆弱である場合もあります。
Android端末は競合他社よりも脆弱なのか?
残念ながら、一般的にそういわれています。Android携帯やそのタブレット端末は、Apple、Microsoft Windows、Linux端末よりも脆弱性が高いことが多いのは事実です。AppleのiOSは最も脆弱性が低く安全と広く考えられていますが、脆弱性の違いにはさまざまな理由があるようです。
Androidが直面する重要な問題の1つは、コーディングの問題やサードパーティ製プログラムに付随する脆弱性です。
潜在的な脆弱性を持つ既知のシステムコンポーネントは多数あり、パッチレベルのセキュリティアップデートは有効ですが、そもそも脆弱性を引き起こした根本的な問題に対処できるとは限りません。
最も脆弱とされるモバイルOSは?
スマホのサイバーセキュリティについて、どのシステムが最も脆弱なのかを考えるとき、2種類の考え方があります。
- OSで確認/悪用/修正された脆弱性の数
- 各OSの具体的な既知の脆弱性の深刻度
これらの対策はどちらも重要ですが、何を求め、何から守ろうとしているかによって、全く異なる結果になることがあります。
例えば、その脆弱性が一般的に低リスクであれば、よりセキュリティ上の懸念が知られている携帯電話を購入してもよいという人もいるかもしれません。つまり、その脆弱性を利用する人が、その携帯電話を使用している人の個人情報を持ち出したり、決済情報や銀行口座へのアクセスなど、携帯電話に保存されているより保護された情報にアクセスできたりすることはまずないでしょう。
AndroidとAppleの両方のモバイルOSは、脆弱性を探す人が増えてきているため、ハッキングの試みが増えています。つまり、より多くの脆弱性が発見され、より重要なセキュリティパッチがリリースされ、重大性の高い脆弱性が発見される割合が増えることになります。
結局のところ、完璧に安全なオペレーティングシステムというものは存在せず、モバイル端末をより安全に保つためのパッチを含め、パッチのたびに新しいセキュリティ問題が発生する可能性があります。
とはいえ、Androidオペレーティングシステムは、一般的にAppleオペレーティングシステムよりも脆弱であると考えられています。一般的にアンドロイドスマートフォン、特に古いAndroid 10 OS以前を搭載した端末には、より多くのセキュリティ脅威が存在します。
残念ながら、トップセキュリティリサーチャーによると、アンドロイドはより深刻な脆弱性を経験する傾向があるそうです。つまり、サムスン、Pixel端末、その他のAndroid OSを搭載したモバイル端末を含むAndroidユーザーは、端末を最新の状態に保ち、端末の保護に役立つセキュリティパッチを監視することに特に注意する必要があるのです。
Androidのセキュリティアップデートはスキップできるのか?
私たちはそれを推奨していませんし、ある程度の期間が過ぎると、重要なアップデートをスキップすることが許されなくなることもあります。
これにはいくつかの理由があります。ひとつは、最新のセキュリティアップデートのように、重要なセキュリティパッチを含むアップデートをスキップすると、お使いの携帯電話やデバイスがマルウェアに感染してしまう可能性が大幅に高くなることです。プログラムによっては、端末の機能の変化に気づかないまま、悪意のあるコードがあなたのデータを探索して、あなたのアカウントに関する個人情報を収集し、端末のオペレーティングシステムに新たなバックドアを設置しているかもしれません。
マルウェアの心配をしていなくても、ある時点でアップデートを余儀なくされることになります。これは、いくつかの企業やイギリス国民保険サービス(NHS)が、重要なシステムをランサムウェアで攻撃され、攻撃される数ヶ月前にパッチが適用されていた既知の脆弱性を利用したため、新しいセキュリティに関する規制が設けられたことが一因となっています。これらの企業は、社内システムに問題を引き起こす可能性のあるアップデートを作業の手間から無視したため、本来あるべきでない形で脆弱性が残されたのです。
そのため、現在では、マルウェアが大企業のシステムに侵入した場合に起こるような大規模な混乱を防ぐために、ソフトウェア会社は、重要な修正がある場合には強制的にアップデートを行うことが求められており、消費者がそれを拒否(オプトアウト)することはできなくなりました。
このように、すべてのアップデートが重要なものとみなされるわけではありませんが、あなたのAndroid端末は、重要なセキュリティアップデートが要求されるたびに、していなかったアップデートをすべてインストールすることになると思われます。ですから、小さなアップデートをしないで携帯電話を脆弱な状態にし、重要なアップデートがリリースされたときにすべてのアップデートがインストールされるまで放置するよりは、アップデートがリリースされたときにアップデートを行った方がよいのです。
さらに言えば、セキュリティアップデートが提供されたら、すぐにAndroid端末にインストールすることをお勧めします。
原文:New Android Update Addresses Critical Vulnerabilities (March 15, 2023 Nick Buikema)