2020年01月22日 05時00分 公開
特集/連載

Android全デバイスに影響か Qualcommのセキュリティ機構「QSEE」に脆弱性ハードウェアに迫る危険【前編】

Armの技術「TrustZone」に基づくQualcommのセキュリティ機構「QSEE」に脆弱性が見つかった。発見者によると、「全てのバージョンの『Android』搭載デバイスが影響を受ける」という。

[Michael Heller,TechTarget]

 Armのセキュリティ技術「TrustZone」をベースにしたQualcommのセキュリティ機構「Qualcomm Secure Execution Environment」(QSEE)に脆弱(ぜいじゃく)性が見つかった。セキュリティ研究者が2019年11月に明らかにした。攻撃者がこの脆弱性を悪用すると、モバイルデバイスに保存した機密性の高いデータを盗むことができる恐れがある。

 TrustZoneを組み込んだプロセッサを搭載したモバイルデバイスは、ブートローダー(システム起動時の処理を実行するプログラム)、無線LAN接続機能、OSの「Android」、Trusted Execution Environment(TEE:ハードウェアレベルでセキュリティを確保した実行環境)にセキュアな構造を組み込むことができる。このTrustZoneをベースにしたQSEEは大手Androidデバイスメーカーが採用しているセキュリティ機構だ。問題の脆弱性を発見したセキュリティベンダーCheck Point Software Technologies(以下、Check Point)のセキュリティ研究者スラバ・マッカビーブ氏は、ブログで公開したレポートで以下のように述べる。

 TEEは重要なデータの安全性を確保するものであり、強力な権限でプログラムを実行する。従ってTEEを構成するコンポーネントに脆弱性があると、保護すべきデータの漏えい、デバイスのroot権限(注1)取得、ブートローダーのロック解除、検出が困難なAPT攻撃(注2)の実行などにつながる恐れがある。そのため通常のOSは、最小限のプロセスのみがTEEにアクセスできるようにしている。

※注1:システムの重要な操作を実行できる管理者権限。

※注2:持続的な標的型攻撃。

QSEEの影響範囲は

ITmedia マーケティング新着記事

news094.jpg

ヤフーとLINEの経営統合でコマース・広告はどう変わるのか
新生Zホールディングスの戦略についてコマースと広告に関わるポイントをまとめました。

news054.jpg

「ウェルビーイング」がなぜCX(顧客体験)とEX(従業員体験)に重要なのか? Qualtrics調査から考察する
Qualtricsの調査によると、コロナ禍で従業員エンゲージメントが世界でも日本でも向上。従...

news144.jpg

動画の重要性 「増している」が85% 動画コンテンツの内製化率は前年比倍増――アライドアーキテクツ調査
アライドアーキテクツが「企業のDX推進における動画活用の実態調査 2021」を実施。デジタ...