2020年01月22日 05時00分 公開
特集/連載

Android全デバイスに影響か Qualcommのセキュリティ機構「QSEE」に脆弱性ハードウェアに迫る危険【前編】

Armの技術「TrustZone」に基づくQualcommのセキュリティ機構「QSEE」に脆弱性が見つかった。発見者によると、「全てのバージョンの『Android』搭載デバイスが影響を受ける」という。

[Michael Heller,TechTarget]

 Armのセキュリティ技術「TrustZone」をベースにしたQualcommのセキュリティ機構「Qualcomm Secure Execution Environment」(QSEE)に脆弱(ぜいじゃく)性が見つかった。セキュリティ研究者が2019年11月に明らかにした。攻撃者がこの脆弱性を悪用すると、モバイルデバイスに保存した機密性の高いデータを盗むことができる恐れがある。

 TrustZoneを組み込んだプロセッサを搭載したモバイルデバイスは、ブートローダー(システム起動時の処理を実行するプログラム)、無線LAN接続機能、OSの「Android」、Trusted Execution Environment(TEE:ハードウェアレベルでセキュリティを確保した実行環境)にセキュアな構造を組み込むことができる。このTrustZoneをベースにしたQSEEは大手Androidデバイスメーカーが採用しているセキュリティ機構だ。問題の脆弱性を発見したセキュリティベンダーCheck Point Software Technologies(以下、Check Point)のセキュリティ研究者スラバ・マッカビーブ氏は、ブログで公開したレポートで以下のように述べる。

 TEEは重要なデータの安全性を確保するものであり、強力な権限でプログラムを実行する。従ってTEEを構成するコンポーネントに脆弱性があると、保護すべきデータの漏えい、デバイスのroot権限(注1)取得、ブートローダーのロック解除、検出が困難なAPT攻撃(注2)の実行などにつながる恐れがある。そのため通常のOSは、最小限のプロセスのみがTEEにアクセスできるようにしている。

※注1:システムの重要な操作を実行できる管理者権限。

※注2:持続的な標的型攻撃。

QSEEの影響範囲は

ITmedia マーケティング新着記事

news070.jpg

現金主義からキャッシュレス利用へのシフト 理由の一つに「衛生」も――クロス・マーケティング調査
キャッシュレス利用が顕著に増加。金額によって支払い方法の使い分けが定着しつつあるよ...

news021.jpg

中国Z世代の心をつかむ「bilibili」、越境マーケティングにどう活用する?
「bilibili」のKOL(インフルエンサー)を活用したマーケティング手法と事例について、ア...

news154.jpg

孫消費急減、女性のLINE利用増――ソニー生命「シニアの生活意識調査2020」
毎年恒例の「シニアの生活意識調査」。2020年のシニアの傾向はどうなっているでしょう。