Android全デバイスに影響か Qualcommのセキュリティ機構「QSEE」に脆弱性：ハードウェアに迫る危険【前編】

Armの技術「TrustZone」に基づくQualcommのセキュリティ機構「QSEE」に脆弱性が見つかった。発見者によると、「全てのバージョンの『Android』搭載デバイスが影響を受ける」という。

[Michael Heller，TechTarget]

　Armのセキュリティ技術「TrustZone」をベースにしたQualcommのセキュリティ機構「Qualcomm Secure Execution Environment」（QSEE）に脆弱（ぜいじゃく）性が見つかった。セキュリティ研究者が2019年11月に明らかにした。攻撃者がこの脆弱性を悪用すると、モバイルデバイスに保存した機密性の高いデータを盗むことができる恐れがある。

併せて読みたいお薦め記事

ハードウェアの脆弱性

• Intel製CPUを攻撃する「ZombieLoad」の脅威　見えないはずのデータが見える？
• Intel製CPUを狙う攻撃「ZombieLoad」に新種が登場　現行のパッチも無効
• CPU脆弱性「Meltdown」「Spectre」がセキュリティに及ぼす決定的な影響

モバイルデバイスの脆弱性

• iPhoneユーザーが知っておくべき「iOS」の危険な脆弱性と対策
• モバイルアプリの大半は脆弱性まみれ、それでもデータを守る方法は？

　TrustZoneを組み込んだプロセッサを搭載したモバイルデバイスは、ブートローダー（システム起動時の処理を実行するプログラム）、無線LAN接続機能、OSの「Android」、Trusted Execution Environment（TEE：ハードウェアレベルでセキュリティを確保した実行環境）にセキュアな構造を組み込むことができる。このTrustZoneをベースにしたQSEEは大手Androidデバイスメーカーが採用しているセキュリティ機構だ。問題の脆弱性を発見したセキュリティベンダーCheck Point Software Technologies（以下、Check Point）のセキュリティ研究者スラバ・マッカビーブ氏は、ブログで公開したレポートで以下のように述べる。

　TEEは重要なデータの安全性を確保するものであり、強力な権限でプログラムを実行する。従ってTEEを構成するコンポーネントに脆弱性があると、保護すべきデータの漏えい、デバイスのroot権限（注１）取得、ブートローダーのロック解除、検出が困難なAPT攻撃（注２）の実行などにつながる恐れがある。そのため通常のOSは、最小限のプロセスのみがTEEにアクセスできるようにしている。

※注１：システムの重要な操作を実行できる管理者権限。

※注２：持続的な標的型攻撃。

QSEEの影響範囲は