携帯電話用Javaに2件の脆弱性--個人情報盗難などのおそれ

Stephen Shankland(CNET News.com)2004年10月25日 09時54分
  • このエントリーをはてなブックマークに追加

 ポーランドのある研究者が、携帯電話機向けのJavaソフトウェアに2つの脆弱性が存在するのを発見した。この脆弱性を悪用するプログラムによって、個人情報を盗まれたり、電話がかけられなくなったりする可能性があるという。

 ただし、この欠陥を悪用するには、悪質なプログラムがあらかじめ個々の携帯電話にインストールされている必要がある。そのためこれを悪用するのは難しいと、2件の脆弱性を発見したAdam Gowdiakは述べている。GowdiakはPoznan Supercomputing and Networking Centerに勤務する29歳のセキュリティ研究者。同氏はNokia 6310iの攻撃方法を発見し、この機種でテキストメッセージや写真の送信、メモリ消去、インターネットへの接続、電話帳のようなデータの盗難などを、すべてユーザーの全く知らない間に行なうプログラムを作成した。ただし、この作業には4カ月を要したと、同氏は22日付けのBugTraq脆弱性報告メーリングリストへのメッセージに記している。

 またこの脆弱性を悪用して、テキストメッセージを密かに記録するソフトウェアをインストールしたり、別のアプリケーションをインストールするソフトウェアを紛れ込ませることも可能だとGowdiakは述べている。

 この脆弱性を悪用するためには、あらかじめ携帯電話機のユーザーが「midlet」と呼ばれる悪質なJavaプログラムをダウンロードして実行しなければならず、自分の知るかぎり自動的に攻撃を仕掛ける方法はまだ存在しないと、Gowdiakはメールでのインタビューで語った。

 Gowdiakは8月に、Sunにこの脆弱性を通知した。同社はその後2週間以内に、Javaライセンス保有者に対して、Java Bytecode Verifierという問題のコンポーネントに修正を加えたパッチを配布した。

 しかし、Gowdiakは10月にマレーシアで開催された「Hack in the Box」カンファレンスでの発表で、この状況は深刻に受け取られるべきだと述べている。「ベンダーやウイルス対策業界は、この種の脅威に対する備えがない。今後半年以内に、遠隔操作可能なモバイル機器の脆弱性が見つかると考えてもおかしくない」(Gowdiak)

 これに対し、SunのEric Chu(Java2 Micro Edition(J2ME)担当マーケティングディレクター)は、「この脆弱性を悪用する試みはまだ見つかっていない。また、もし見つかったとしても、ユーザーは信用できないソースからダウンロードしたアプリケーションを・・・単に消去すればよい」としている。

 Sunはこの脆弱性の存在を公表せず、顧客への通知を携帯電話メーカー各社に任せることにしたが、これについてChuは、「我々にはエンドコンシューマーとのつながりがない」と述べた。

 Javaで構築されたビデオゲームのようなプログラムは数多くの携帯電話機上で動かせるため、携帯電話用のJavaは広く普及している。Sunの推定では、2004年末までに5700万台以上のJava対応端末が市場に出回る見込みで、また携帯電話の3台に1台がJava対応機になるという。さらに、携帯電話機向けにサービスを提供する何百という会社が、J2MEを使って、着メロやゲーム等を販売している。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

  • このエントリーをはてなブックマークに追加