Last Updated on 2025-04-09 10:44 by admin
Googleは2025年4月9日、Androidの62件の脆弱性に対するパッチを公開した。その中には積極的に悪用されている2つのゼロデイ脆弱性(CVE-2024-53197とCVE-2024-53150)が含まれている。
CVE-2024-53197はLinuxカーネルのUSBオーディオサブコンポーネントにおける権限昇格の欠陥である。この脆弱性はユーザー操作なしに悪用可能で、セルビアの法執行機関が学生活動家のデバイスロックを解除するためにCellebriteフォレンジックツールと組み合わせて使用した事例がある。
CVE-2024-53150はLinuxカーネルのUSBサブコンポーネントにおける境界外の欠陥で、情報漏洩につながる可能性がある。この脆弱性もユーザー操作を必要とせず、国家脆弱性データベース(NVD)でCVSSレーティング7.8が与えられている。
これらの修正パッチはAndroid 13、14、15向けに提供されているが、各端末メーカーが独自に展開する必要があるため、すべてのデバイスで即時に利用可能とは限らない。ユーザーはパッチレベル2025-04-05以降であれば、これらの問題が修正されていると考えられる。
from:2 Android Zero-Day Bugs Under Active Exploit
【編集部解説】
今回のセキュリティアップデートでは、合計62件の脆弱性が修正されましたが、特に注目すべきは積極的に悪用されていた2つのゼロデイ脆弱性(CVE-2024-53197とCVE-2024-53150)です。
CVE-2024-53197は、Linuxカーネルの「ALSA: usb-audio」コンポーネントに存在する権限昇格の脆弱性で、2024年12月にLinuxカーネル自体では既に修正されていました。この脆弱性は特に深刻で、イスラエルのデジタルフォレンジック企業Cellebriteが開発した攻撃チェーンの一部として使用されていたことが判明しています。
Amnesty Internationalの調査によると、セルビア当局がこの脆弱性を含む攻撃チェーンを利用して、学生活動家のAndroidデバイスのロックを解除し、データを抽出していました。この攻撃チェーンには、2月に修正されたUSB Video Class関連の脆弱性(CVE-2024-53104)と3月に修正されたHuman Interface Devices関連の脆弱性(CVE-2024-50302)も含まれていました。
もう一つのゼロデイ脆弱性であるCVE-2024-53150も同じくLinuxカーネルのUSBサブコンポーネントに存在する境界外読み取りの脆弱性で、ユーザー操作なしに機密情報へのアクセスを可能にするものです。この脆弱性についてはCVSSスコア7.8が付与されており、高い危険度を示しています。
興味深いのは、CVE-2024-53150の悪用に関する具体的な報告はGoogleの発表前には公になっていなかった点です。しかし、セキュリティに焦点を当てたモバイルOSであるGrapheneOSの開発者によれば、この脆弱性はCVE-2024-53197と類似しており、Cellebriteが利用した同じ脆弱性群の一部である可能性が高いとされています。
これらの脆弱性は物理的なUSBアクセスを必要とするため、一般ユーザーへの脅威は限定的ですが、法執行機関やその他の組織による監視活動に悪用される可能性があります。特に活動家やジャーナリストなど、特定のターゲットに対する監視ツールとして利用されるリスクが高いでしょう。
Googleはこれらの脆弱性の修正パッチを2025年1月にはOEMパートナーに共有していましたが、すべてのAndroidデバイスにすぐに適用されるわけではありません。Pixelデバイスはすぐに更新を受け取りますが、他のメーカーのデバイスでは、メーカーがハードウェア構成に合わせてテストを行う必要があるため、更新が遅れる可能性があります。
ユーザーの皆さんは、お使いのAndroidデバイスのパッチレベルが「2025-04-05」以降であれば、これらの脆弱性は修正されていると考えて良いでしょう。「設定」アプリから「端末情報」または「デバイス情報」を確認し、ソフトウェアアップデートが利用可能かどうかを確認することをお勧めします。
この事例は、デジタルセキュリティと市民の権利の間の緊張関係を浮き彫りにしています。Cellebriteのような企業が提供するフォレンジックツールは犯罪捜査に役立つ一方で、政府による監視や弾圧のツールとして悪用される可能性も秘めています。実際、Cellebriteは2月25日に、警察がジャーナリストや活動家の電話をロック解除して感染させるためにその製品を使用したとの報告を受けて、セルビアによる同社ソリューションの使用をブロックしたと発表しています。
テクノロジーの進化とともに、このような脆弱性の発見と修正のサイクルは今後も続くでしょう。ユーザーとしては、定期的なセキュリティアップデートの適用が最も重要な防御策となります。
【用語解説】
ゼロデイ脆弱性:
まだ公式に修正パッチがリリースされていない脆弱性のこと。攻撃者は開発者が対応する「ゼロ日目」から脆弱性を悪用できるため、この名前がついている。
権限昇格(特権昇格):
コンピュータシステム上で、ユーザーやプログラムが本来与えられている以上の権限を取得してしまう脆弱性のこと。一般ユーザー権限から管理者権限を不正に取得するなどの攻撃に利用される。
境界外読み取り:
プログラムが意図された範囲を超えてメモリ領域からデータを読み取ってしまう脆弱性。機密情報の漏洩やシステムのクラッシュを引き起こす可能性がある。
Linuxカーネル:
Linuxオペレーティングシステムの中核部分。ハードウェアとソフトウェアの間の橋渡しをする重要なコンポーネントで、リーナス・トーバルズによって開発が始められた。
CVSS(共通脆弱性評価システム):
セキュリティ脆弱性の深刻度を数値化する国際的な評価基準。0.0~10.0の範囲で評価され、7.0以上は「重要」または「緊急」とされる。
Cellebrite(セレブライト):
イスラエルに本社を置くデジタルフォレンジック企業。法執行機関向けにモバイルデバイスからデータを抽出するツールを提供している。従業員数は約1,167人。
Amnesty International(アムネスティ・インターナショナル):
1961年に設立された国際的な人権NGO。世界中の人権侵害を監視・報告し、政府の監視技術の使用についても調査している。
【参考リンク】
Cellebrite公式サイト(外部)
デジタルフォレンジックツールを提供するCellebriteの公式サイト。法執行機関向けのデータ抽出・分析ソリューションを紹介している。
Android ヘルプセンター(外部)
Androidデバイスのバージョン確認方法やセキュリティアップデートの適用方法などを解説している。
GrapheneOS公式サイト(外部)
プライバシーとセキュリティに焦点を当てたAndroid派生のオープンソースモバイルOSプロジェクト。
【編集部後記】
みなさんのAndroidデバイスは最新のセキュリティパッチが適用されていますか? 「設定」から「端末情報」を確認してみてください。パッチレベルが「2025-04-05」以降であれば安心です。デバイスのセキュリティは自分自身で守る時代。「更新は面倒…」と後回しにしていませんか? 今回の事例のように、脆弱性は思わぬ形で悪用される可能性があります。みなさんはスマートフォンのセキュリティ対策、どのように考えていますか? SNSでぜひ教えてください。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
