Android全デバイスに影響か Qualcommのセキュリティ機構「QSEE」に脆弱性ハードウェアに迫る危険【前編】

Armの技術「TrustZone」に基づくQualcommのセキュリティ機構「QSEE」に脆弱性が見つかった。発見者によると、「全てのバージョンの『Android』搭載デバイスが影響を受ける」という。

2020年01月22日 05時00分 公開
[Michael HellerTechTarget]

関連キーワード

Android | セキュリティ | モバイル端末 | 脆弱性


 Armのセキュリティ技術「TrustZone」をベースにしたQualcommのセキュリティ機構「Qualcomm Secure Execution Environment」(QSEE)に脆弱(ぜいじゃく)性が見つかった。セキュリティ研究者が2019年11月に明らかにした。攻撃者がこの脆弱性を悪用すると、モバイルデバイスに保存した機密性の高いデータを盗むことができる恐れがある。

 TrustZoneを組み込んだプロセッサを搭載したモバイルデバイスは、ブートローダー(システム起動時の処理を実行するプログラム)、無線LAN接続機能、OSの「Android」、Trusted Execution Environment(TEE:ハードウェアレベルでセキュリティを確保した実行環境)にセキュアな構造を組み込むことができる。このTrustZoneをベースにしたQSEEは大手Androidデバイスメーカーが採用しているセキュリティ機構だ。問題の脆弱性を発見したセキュリティベンダーCheck Point Software Technologies(以下、Check Point)のセキュリティ研究者スラバ・マッカビーブ氏は、ブログで公開したレポートで以下のように述べる。

 TEEは重要なデータの安全性を確保するものであり、強力な権限でプログラムを実行する。従ってTEEを構成するコンポーネントに脆弱性があると、保護すべきデータの漏えい、デバイスのroot権限(注1)取得、ブートローダーのロック解除、検出が困難なAPT攻撃(注2)の実行などにつながる恐れがある。そのため通常のOSは、最小限のプロセスのみがTEEにアクセスできるようにしている。

※注1:システムの重要な操作を実行できる管理者権限。

※注2:持続的な標的型攻撃。

QSEEの影響範囲は

会員登録(無料)が必要です

Copyright © ITmedia, Inc. All Rights Reserved.

TechTargetジャパン トップ セキュリティ

新着ホワイトペーパー

製品資料 パロアルトネットワークス株式会社

SOCは対応能力の限界、今取り組むべきセキュリティ運用の抜根的改革とは?

テクノロジーの進歩によって攻撃対象領域が拡大している昨今、従来のSOCは対応能力の限界を迎えている。最新の脅威に対抗するためには、セキュリティ運用の抜根的な改革が必要になるが、どのように進めていけばよいだろうか。

製品資料 フォーティネットジャパン合同会社

クラウドに必要な「データドリブンなセキュリティ」を実現する方法とは?

クラウド利用が当たり前となった今日、セキュリティ対策もまたクラウド環境に適したものでなくてはならない。とはいえ、大量のデータポイントが生成されるクラウド領域にあって、その全てのポイントを網羅するのは並大抵のことではない。

プレミアムコンテンツ アイティメディア株式会社

「ホワイトハッカー」として活躍できる認定資格とは

攻撃者視点でシステムの防御策を考える「ホワイトハッカー」の仕事の需要は旺盛で、仕事内容も刺激的だ。ホワイトハッカーになるための認定資格とは。

製品資料 Absolute Software株式会社

AIの普及でリスクが増大? エンドポイントセキュリティは今どう変わるべきか

PCをはじめとするエンドポイントデバイスがコモディティ化する中、それらをどう脅威から守るかは、あらゆる企業にとって重要課題だ。AI対応デバイス導入の波や、重大な脆弱性への対応など、現状のリスクを踏まえた上で最適な解決策を探る。

技術文書・技術解説 SecureNavi株式会社

取引先からも求められるISMSクラウドセキュリティ認証、何から着手すればよい?

ISMSクラウドセキュリティ認証は、安全なクラウドサービスを利用者自身が選択できるように誕生したセキュリティ規格だ。ただ、取得のために何をすればよいか分からないという声も多く聞かれる。そこで、概要から取得方法までを解説する。

会員登録(無料)

8000点以上の技術資料や導入事例など、IT導入の課題解決に役立つ情報を入手できます。

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

アクセスランキング

2025/06/04 UPDATE

  1. 証券口座だけじゃない 企業も狙う「インフォスティーラー」の仕組みと対策
  2. SAPやSamsung製品も安全ではない? 増え続ける脆弱性の実態と緊急度
  3. “複雑なパスワード”より「パスフレーズ」を専門家が勧める理由
  4. “PC乗っ取り”の恐れも Microsoft製品の危険な「ゼロデイ脆弱性」とは
  5. 「身代金を支払う」のは得か損か? ランサムウェア攻撃で迫られる苦渋の選択
  6. IPA「情報セキュリティ10大脅威」を単なるランキングで終わらせない方法
  7. 「身代金を支払う」以外のランサムウェア対策は本当にあるのか?
  8. 日本でも対策が遅れる「あの侵入経路」が急増――攻撃グループの活動実態
  9. 脆弱性識別子「CVE」に突如として訪れた“存亡の機” これからどうなる?
  10. Webを守るなら「WAF」と「RASP」どちらを選ぶ? 仕組みからコストまで徹底比較

プレミアムコンテンツ

Windows 10「なぜか遅い」はあれが原因だった?

Windows 10「なぜか遅い」はあれが原因だった? ダウンロード
» プレミアムコンテンツライブラリへ

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

ログイン
会員登録
パスワード再設定
よくあるご質問
TechTargetジャパンとは
お問い合わせ
広告掲載について
利用規約
サイトマップ
初めての方