QualcommのDSPに深刻な脆弱性、Androidスマートフォンの40%に影響解決まで数年?

多くのAndroidスマートフォンに使われているQualcommの「Snapdragon」で脆弱性が発見された。この影響を受ける何億台もの端末にパッチを適用するには数カ月から数年かかる恐れがあるという。

2020年09月18日 08時00分 公開
[Alex ScroxtonComputer Weekly]

 Google、LG Electronics、OnePlus、Samsung Electronics、Xiaomiなどのスマートフォンがサイバー犯罪の危険にさらされている。QualcommのDSP(デジタルシグナルプロセッサ)「Snapdragon」に400もの脆弱(ぜいじゃく)なコードセクションが見つかったためだ。このチップは全世界のAndroidスマートフォンの40%に使われている。

 この脆弱性を見つけたCheck Point Software Technologiesによると、アクセス権の全くないシンプルで無害なアプリケーションを標的のユーザーにインストールさせるだけで攻撃することができるという。

会員登録(無料)が必要です

 この脆弱性によって、スマートフォンを乗っ取り、その所有者をスパイし、追跡できる。マルウェアをインストールして隠蔽し、完全にブロックすることも可能だ。そう話すのはCheck Pointでサイバー研究の責任者を務めるヤニブ・バルマス氏だ。

 これらの脆弱性はQualcommに開示され、同社もこれを認めている。関連サプライヤーにも通知され、多くの警告(CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208、CVE-2020-11209)も発行された。だが、この問題の規模を考えると解決に数カ月から数年かかる恐れがあるとバルマス氏は警告する。

 同氏は次のように話す。「Qualcommはこの脆弱性を修正した。だが、残念ながらこの問題はそれで終わりではない。

 このセキュリティリスクは何億台ものスマートフォンに影響する。悪用されればスパイされる。スマートフォンのデータが全て失われる恐れもある。当社の調査は、モバイルの世界のエコシステムが入り組んでいることを示している。それぞれのスマートフォンには長いサプライチェーンが付随する。そのためスマートフォンの奥深くに潜む問題を見つけるのは簡単なことではない。そうした問題を解決するのも簡単なことではない」

 「今回は問題を特定できた。だが、この問題を完全に緩和するには数カ月から数年かかると当社は想定している。この期間に攻撃者がこの脆弱性を見つけて悪用すると、保護する手段をほぼ持たないユーザーが数千人に上る恐れがある」(バルマス氏)

 バルマス氏は次のように補足する。「製造業界でも市場でも、このパッチを自社の系列スマートフォン全体に組み込むのはベンダーの役割だ。Check Pointは、全てのベンダーが自社の全スマートフォンにパッチを組み込むのに長い時間がかかると考えている」

 DSPの脆弱性はサイバー犯罪における未開拓の新たな「深刻な」攻撃領域を表し、影響を受ける端末に新たな攻撃面と弱点をもたらすと同氏は話す。それは、QualcommがDSPを「ブラックボックス」として管理しており、Qualcomm以外の第三者がチップの設計、機能、コードをレビューするのが非常に複雑になるためだ。これにより脆弱性のリスクが著しく高くなる。

 現時点でこの脆弱性の技術的な詳細を公開するとそれを悪用した侵害が生み出されるリスクが高いため、開示は責任ある行動ではないとCheck Pointは考えているとバルマス氏は話す。

 「今のところ、ユーザーはベンダーが解決策を提供するのを待つしかない。Check Pointは自社のモバイル保護ソリューションでこうした脆弱性の保護を提供している」(バルマス氏)

 バルマス氏と同氏が率いるチームは「DEF CON 28」(訳注:2020年に開催予定だったDEF CON)で、「DSP Gate」と題する論文でQualcommのチップに関する同社の研究の概要を説明した。なお、2020年の「DEF CON」は新型コロナウイルス感染症の世界的大流行により「DEF CON Safe Mode」としてオンラインで開催された。

 Qualcommの広報担当者は次のように話している。「Qualcommにとって、堅牢(けんろう)なセキュリティとプライバシーをサポートする技術を提供することが最優先だ。Check Pointが公開した『Qualcomm Compute DSP』の脆弱性については、全力を挙げて問題を検証してOEMが適切な緩和策を取れるよう取り組んだ。現時点でこの脆弱性が悪用された証拠はない。当社は、パッチが入手可能になったら端末をアップデートすること、そしてGoogle Playストアなどの信頼できる場所からのみアプリをインストールすることをエンドユーザーに勧めている」

Copyright © ITmedia, Inc. All Rights Reserved.

新着ホワイトペーパー

市場調査・トレンド アルテリア・ネットワークス株式会社

調査に見る、ネットワークとセキュリティの導入状況と課題

ネットワークの在り方とセキュリティ対策は常に進化している。その進化を企業はキャッチアップできているのか。2025年1月24日~2月19日に行われた調査データを基に、企業の課題や取り組みを考察する。

市場調査・トレンド キヤノンマーケティングジャパン株式会社

4割以上が人材確保に課題、調査で見えた中小企業のセキュリティ課題と解決策

サイバー攻撃の高度化や、取引先からの要請を受け、中小企業でもセキュリティ対策の強化が必須となっている。しかし、人材不足が原因で、EDRやXDRの運用に不安を感じる企業も多い。こうした現状や解決策を、調査結果から探る。

事例 キヤノンマーケティングジャパン株式会社

セキュリティ能力の向上と運用管理の業務軽減、人材不足でも実現できた理由とは

教育機関を狙うサイバー攻撃が増加傾向にある。教育活動の安全を守るためには、セキュリティ強化が不可欠だが、多くの教育機関でインシデントに対処できる人材が不足している。本資料では、この問題を解決した大手前学園の事例を紹介する。

製品資料 キヤノンマーケティングジャパン株式会社

マンガで解説:人材不足が進む中小企業がセキュリティを強化する方法とは?

人材不足が進む中小企業にとって、専門スキルを有する人材が必要なサイバー攻撃対策は悩みの種だ。そこで本資料を参考にしてほしい。ここでは、セキュリティ対策にXDRとMDRを活用することのメリットをマンガで分かりやすく解説する。

事例 キヤノンマーケティングジャパン株式会社

社内に負担なく短期間でセキュリティを向上、テクトロンの事例に学ぶMDR活用

医療機関へのサイバー攻撃が激化する中、医療情報システムを扱うSIベンダーであるテクトロンは、顧客への責任を果たすため、さらなるセキュリティ強化に取り組んでいる。そんな同社が負担なく短期間でセキュリティを向上させた方法とは?

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

ITmedia マーケティング新着記事

news163.jpg

「政府」「メディア」への信頼度は日本が最低 どうしてこうなった?
「信頼」に関する年次消費者意識調査の結果から、日本においても社会的な不満・憤りが大...

news062.jpg

「Threads」が広告表示テスト開始 企業アカウント運用のポイントとは?
Metaのテキスト共有アプリ「Threads」で広告表示のテストが開始され、新たな顧客接点とし...