防衛・セキュリティ企業Thalesのエンジニアリング・アナリストであるValentino Ricottaが、Kindleの脆弱性を実証する悪意のある電子書籍を作成し、Amazonアカウントへのアクセスに成功した。
攻撃者はKindleに侵入すると個人データ、クレジットカード情報、ローカルネットワーク、Amazonアカウントに登録された他のデバイスにもアクセス可能となる。多くのユーザーがサードパーティサイトから書籍を一括ダウンロードしUSB経由でKindleに転送しており、インターネット未接続でも影響を受ける可能性がある。
Ricottaは発見した欠陥をAmazonに報告し、両方とも「クリティカル」と判定され修正された。
彼は20,000ドルのバグ報奨金を授与され、Thalesは慈善団体に寄付した。オンスクリーンキーボードの未修正の脆弱性も存在し、Amazonセッションクッキーの窃取を可能にする。
From: 
New Kindle Book Malware can hack your Amazon account
【編集部解説】
Kindleは比較的安全なデバイスと考えられてきましたが、電子書籍を介したマルウェア攻撃という新たな脅威が明らかになりました。この報告は、IoTデバイスのセキュリティに対する認識を改めて問い直す契機となります。
攻撃の仕組みは驚くほどシンプルです。悪意のあるコードが埋め込まれた電子書籍ファイルをKindleで開くだけで、デバイスが乗っ取られる可能性があります。特に注目すべきは、USB経由でのサイドロード攻撃の場合、インターネット接続が不要という点です。これは、オフライン環境でも安全ではないことを意味します。
攻撃が成功すると、個人情報やクレジットカード情報へのアクセス、ローカルネットワークへの侵入、さらには同じAmazonアカウントに紐付けられた他のデバイスへの横展開も可能になります。Kindleを起点として、家庭内ネットワーク全体が危険にさらされるシナリオは、従来のスマートフォンやPCへの攻撃とは異なる脅威モデルを示しています。
過去にもKindleの脆弱性は複数報告されています。2021年にはCheck Point Researchが、PDF内のJBIG2デコードアルゴリズムの整数オーバーフロー(CVE-2021-30354)とローカル権限昇格(CVE-2021-30355)を発見しました。同年、Yogev Bar-Onが発見した「KindleDrip」では、「Send to Kindle」機能を悪用した攻撃手法が実証されました。これらの事例は、電子書籍という一見無害なファイル形式が、実は高度な攻撃ベクターになりうることを示しています。
今回の報告で特筆すべきは、バグ報奨金プログラムを通じた責任ある開示が機能したことです。Thalesは発見した脆弱性をAmazonに報告し、修正後に情報を公開しました。20,000ドルの報奨金を慈善団体に寄付したことも、企業の社会的責任を示す好例です。
しかし、記事が言及する「オンスクリーンキーボードの未修正の脆弱性」の存在は懸念材料です。これはセッションクッキーの窃取を可能にするもので、修正されるまでユーザーは潜在的なリスクにさらされ続けます。
対策としては、信頼できるソースからのみ電子書籍をダウンロードすること、Kindleのファームウェアを常に最新状態に保つこと、不審な電子書籍ファイルを開かないことが挙げられます。特にサードパーティサイトからの大量ダウンロードには注意が必要です。
この事例は、「電子書籍リーダーは安全」という認識を覆すものです。あらゆるネットワーク接続デバイスがセキュリティリスクを抱えていることを、改めて認識する必要があります。
【用語解説】
バグ報奨金(Bug Bounty)
ソフトウェアやシステムの脆弱性を発見した研究者に対して、企業が報奨金を支払うプログラムである。倫理的ハッカーが責任ある方法で脆弱性を報告することを奨励し、製品のセキュリティを向上させる仕組みとして広く採用されている。
サイドロード
公式ストア以外の方法でアプリケーションやファイルをデバイスにインストールすること。KindleではUSB経由で電子書籍を直接転送する行為を指す。利便性がある一方、マルウェア混入のリスクも伴う。
セッションクッキー
ユーザーがウェブサービスにログインした状態を維持するために使用される一時的なデータである。これが盗まれると、攻撃者はパスワードなしでユーザーアカウントにアクセスできる。
CVE(Common Vulnerabilities and Exposures)
公開されているセキュリティ脆弱性に対して一意の識別番号を付与する国際的な標準システムである。セキュリティ研究者や企業間で脆弱性情報を共有する際の共通言語として機能する。
root権限
コンピューターシステムにおける最高レベルの管理者権限である。この権限を取得されると、攻撃者はシステムのあらゆる部分にアクセスし、制限なく操作できる。
IoTデバイス
Internet of Thingsの略で、インターネットに接続された様々な物理デバイスを指す。スマート家電、ウェアラブル端末、電子書籍リーダーなどが含まれる。従来は安全と考えられていたが、近年はサイバー攻撃の標的となっている。
JBIG2
PDF内で白黒画像を圧縮するための画像符号化規格である。文書のファイルサイズを削減するために広く使用されているが、その処理アルゴリズムに脆弱性が存在することがある。
【参考リンク】
Thales Group(外部)
フランスに本社を置く多国籍企業で、防衛、航空宇宙、サイバーセキュリティ分野で世界的リーダー。
Amazon Vulnerability Research Program – Devices(外部)
Amazonのデバイス関連の脆弱性報告プログラム。倫理的ハッカーによるセキュリティ向上に貢献。
Check Point Research – Kindle脆弱性解説(外部)
2021年に発見されたKindleの脆弱性に関する技術的な詳細を解説した研究レポート。
【参考記事】
Amazon Kindle Vulnerabilities could have led Threat Actors to Device Control and Information Theft(外部)
Check Point Researchが2021年にKindleの脆弱性を発見。悪意のある電子書籍を開くだけでデバイスが乗っ取られる可能性を実証。
Do you like to read? I can take over your Kindle with an e-book(外部)
JBIG2デコードアルゴリズムの整数オーバーフロー(CVE-2021-30354)とローカル権限昇格(CVE-2021-30355)の詳細な技術解説。
KindleDrip: Critical vulnerabilities in Amazon Kindle e-reader(外部)
Yogev Bar-Onが発見した「KindleDrip」脆弱性。Send to Kindle機能を悪用し、メールアドレスのみでデバイスに侵入可能だった。
#DEFCON: A Bad eBook Can Take Over Your Kindle (or Worse)(外部)
DEF CON 29でSlava MakkaveevがKindle脆弱性を実演。約1億台のKindleが対象で、Amazonアカウント窃取やボット化の危険性を指摘。
【編集部後記】
電子書籍リーダーは「本を読むだけのデバイス」という先入観がありました。しかし今回の報告は、あらゆるネットワーク接続デバイスが攻撃対象になりうることを改めて示しています。皆さんはKindleをどのように使っていますか?サードパーティサイトから電子書籍をダウンロードしている方は、一度立ち止まって考えてみる必要があるかもしれません。ファームウェアの自動更新を有効にすること、信頼できるソースからのみコンテンツを入手すること。これらの基本的な対策が、デジタルライフを守る第一歩となります。
