2020年01月22日 05時00分 公開
特集/連載

Android全デバイスに影響か Qualcommのセキュリティ機構「QSEE」に脆弱性ハードウェアに迫る危険【前編】

Armの技術「TrustZone」に基づくQualcommのセキュリティ機構「QSEE」に脆弱性が見つかった。発見者によると、「全てのバージョンの『Android』搭載デバイスが影響を受ける」という。

[Michael Heller,TechTarget]

 Armのセキュリティ技術「TrustZone」をベースにしたQualcommのセキュリティ機構「Qualcomm Secure Execution Environment」(QSEE)に脆弱(ぜいじゃく)性が見つかった。セキュリティ研究者が2019年11月に明らかにした。攻撃者がこの脆弱性を悪用すると、モバイルデバイスに保存した機密性の高いデータを盗むことができる恐れがある。

 TrustZoneを組み込んだプロセッサを搭載したモバイルデバイスは、ブートローダー(システム起動時の処理を実行するプログラム)、無線LAN接続機能、OSの「Android」、Trusted Execution Environment(TEE:ハードウェアレベルでセキュリティを確保した実行環境)にセキュアな構造を組み込むことができる。このTrustZoneをベースにしたQSEEは大手Androidデバイスメーカーが採用しているセキュリティ機構だ。問題の脆弱性を発見したセキュリティベンダーCheck Point Software Technologies(以下、Check Point)のセキュリティ研究者スラバ・マッカビーブ氏は、ブログで公開したレポートで以下のように述べる。

 TEEは重要なデータの安全性を確保するものであり、強力な権限でプログラムを実行する。従ってTEEを構成するコンポーネントに脆弱性があると、保護すべきデータの漏えい、デバイスのroot権限(注1)取得、ブートローダーのロック解除、検出が困難なAPT攻撃(注2)の実行などにつながる恐れがある。そのため通常のOSは、最小限のプロセスのみがTEEにアクセスできるようにしている。

※注1:システムの重要な操作を実行できる管理者権限。

※注2:持続的な標的型攻撃。

QSEEの影響範囲は

ITmedia マーケティング新着記事

news150.jpg

「新しい出会いや人とのつながりを大切に感じるようになった」人が7割――Sansan調査
新型コロナウイルスの影響で、これまでのように気軽に出会えないことが、ビジネスパーソ...

news050.jpg

TableauにSalesforce Einstein Analyticsが完全統合してこれから変わること
セールスフォース・ドットコムとTableau Softwareは両社の製品統合の詳細について、いよ...

news174.jpg

Cookieによるユーザー行動分析を日常的に実施する広告宣伝担当者が10.5%減――サイカ調査
企業の広告宣伝担当者290人に聞いた「Cookie等を用いたユーザー行動分析の利用実態調査」...