Androidスマートフォンのセキュリティ、エフセキュアが警告

~日本で多くのユーザを持つSamsung Galaxy S9も対象機種に~

先進的サイバー・セキュリティ・テクノロジーのプロバイダであるF-Secure (本社: フィンランド・ヘルシンキ、CEO: Samu Konttinen、日本法人: 東京都港区、以下、エフセキュア) は、Android搭載スマートフォンの複数機種が持つセキュリティ上の問題を発見したことを発表しました。Androidスマートフォンは全世界の市場で大きなシェアを持っています。しかし、エフセキュアのセキュリティコンサルタントによるリサーチでは、Androidスマートフォンの大手メーカー数社が販売する複数のデバイスには、一部の国のユーザにのみ影響を与える地域固有のセキュリティ問題が存在することが判明しました。これは、デバイスのセキュリティに関する問題のひとつを浮き彫りにするものです。

リサーチの対象となったデバイスには、Huawei Mate 9 Pro、Samsung Galaxy S9、Xiaomi Mi 9が含まれています。脆弱性、設定の問題、そして攻撃者による悪用プロセスや影響はデバイスによって異なります。これらが世界中で販売されているデバイスにも関わらず、地域ごとに異なるレベルのセキュリティが提供されているという点が、今回の発見を重要なものにしています。メーカーによるデバイスの設定方法にもよりますが、これは本質的に一部のユーザに対して低いセキュリティ基準が提供されていることを示しています。

F-Secure Consultingのリサーチ・ディレクターであるJames Loureiro (ジェームズ・ローレイロ) は、広く普及しているデバイスにこうした問題が存在することで、端末メーカーごとにカスタマイズされたAndroidの普及がセキュリティ上の大きな問題を投げかけていると語っています。 「Samsung、Huawei、Xiaomi などのデバイスメーカーがAndroidに行ったカスタマイズは、デバイスがどの地域で設定されているか、あるいは搭載する SIM カードにより、これらのデバイスのセキュリティが著しく低下させられる可能性があります。メーカーによって100以上ものアプリケーションが追加されたデバイスをいくつも見てきましたが、これはハッキングの対象となる『攻撃領域』が地域によって大きく異なることを表しています。」

例えば、Samsung Galaxy S9は、SIMカードが動作している地域を検出し、デバイスの動作に影響を与えます。Loureiroのチームは、Samsungデバイスのコードが中国のSIMカードを検出した場合、アプリケーションを悪用してデバイスを完全に制御できることを発見しました (他国のSIMカードは該当しない)。XiaomiとHuaweiのデバイスに対するリサーチでも同様の問題が発見されました。どちらのケースでも、リサーチャーたちは地域固有の設定(Huawei Mate 9 Proでは中国、Xiaomi Mi 9では中国/ロシア/インドなど) を悪用することでデバイスを侵害することができました。

F-Secure Consultingは、半年に一度開催されるハッキングイベントである「Pwn2Own」に向けてリサーチを行いながら、数年の歳月をかけてこの脆弱性を発見しました。エフセキュアのシニア・セキュリティ・リサーチャーであるMark Barnes (マーク・バーンズ) は、これらの発見によって、脆弱性のリサーチにおいて新しい可能性を持つ分野が出現してきていると語っています。 「多くのユーザを持つスマートフォン数機種でこうした問題が発見されたことは、これが、セキュリティコミュニティ全体がもっと慎重に検討する必要がある分野だということです。私たちのリサーチにより、セキュリティの観点からカスタムAndroidビルドの急増がどれほど問題になるかが判明しました。そして、デバイスメーカーだけでなく、多くの地域で製品や事業を展開している大企業がこうした問題に対する認識を高める必要があります。」

F-Secure Consultingのチームは、複数回のPwn2Ownイベントでこれらの脆弱性を突いた攻撃を実演し、リサーチ結果をデバイスメーカーと共有しました。攻撃に利用された全ての脆弱性には既にパッチが適用されています。

F-Secure Consultingは4大陸11ヶ国に拠点を構え、銀行、金融サービス、航空、海運、小売、保険、その他セキュリティがクリティカルとなる分野において、高度なサイバーセキュリティコンサルティングサービスを提供しています。

今回のリサーチに関する詳細は以下のブログでご覧いただけます。 https://blog.f-secure.com/ja/do-androids-dream-of-equal-security/

動画掲載ページ: https://youtu.be/OoQ5ZkKAeX0

F-Secure Consulting (英語): https://www.f-secure.com/en/consulting

F-Secure Labs (英語): https://labs.f-secure.com/

エフセキュアについて

エフセキュアほどサイバーセキュリティを熟知している企業は市場に存在しません。1988年の設立以来、エフセキュアは30年以上にわたりサイバーセキュリティの技術革新を牽引し、数千社の企業と数百万人のユーザーを守ってきました。エンドポイントの保護と脅威の検出・対応において他企業を圧倒する実績を持つエフセキュアは、巧妙なサイバー攻撃やデータ侵害からランサムウェアの感染の蔓延までを含む、あらゆる脅威から企業と個人ユーザーを保護します。エフセキュアの先進テクノロジーは、機械学習の力と世界的に有名なセキュリティラボのエキスパートの持つ専門知識を組み合わせた、『Live Security』と呼ばれる独特のアプローチに基づくものです。ヨーロッパにおいて、エフセキュアは他のどのセキュリティ関連企業よりも多くのサイバー犯罪捜査に携わっています。エフセキュア製品は全世界200社以上のブロードバンド/モバイル事業者と数千社にのぼるセールスパートナーを通じて販売されています。


エフセキュアは本社をフィンランド・ヘルシンキに、日本法人であるエフセキュア株式会社を東京都港区に置いています。また、NASDAQ ヘルシンキに上場しています。Twitter @FSECUREBLOG でも情報の配信をおこなっています。

f-secure.coom | twitter.com/fsecure | linkedin.com/f-secure

本件に関する報道関係者からのお問合せ先

秦 和哉 (Kazuya HATA)

PR Manager, Japan

+81 3 4578 7745
japan-pr@f-secure.com

プレス登録

F-Secureからのリリース配信をご希望の方は、こちらからご登録ください。

お客様の個人データは、当社の法人向けビジネス プライバシー ポリシーに従って処理されます。