logo

LinuxカーネルのTCP脆弱性、「Android」端末の約80%に影響

Zack Whittaker (ZDNet.com) 翻訳校正: 編集部2016年08月16日 10時46分
  • このエントリーをはてなブックマークに追加

 約80%もの「Android」端末が、先ごろ開示されたLinuxカーネルの脆弱性の影響を受ける。

 セキュリティ企業のLookoutが米国時間8月15日のブログ投稿で述べたところによると、この脆弱性はLinuxカーネル3.6以上を使用しているOSに存在し、「Android 4.4 KitKat」以降のAndroidを搭載するスマートフォンとタブレットに影響を及ぼすという。

 最新の統計データから判断すると、影響を受けるスマートフォンおよびタブレットは14億台を超える可能性もある(「Android Nougat」開発者プレビュー版を搭載する端末も含む)。

 「Windows」と「Mac」はこの脆弱性の影響を受けない。

 問題の脆弱性(CVE-2016-5696)は先週の「Usenix」セキュリティカンファレンスで開示された。攻撃者が脆弱性を突くことに成功した場合、「あらゆる場所」から、暗号化されていないウェブトラフィックに悪質なコードを注入することが可能になるおそれがあるが、そのトラフィックをインターセプトするためには、送信元と送信先のIPアドレスが分かっている必要がある。

 しかし、豊富なリソースを持ち、ネットワーク上で特権的な立場にいる攻撃者(例えば、国家)にとって、この脆弱性を悪用するのはそれほど難しくないかもしれない。

 たとえ接続が暗号化されている場合でも、攻撃者はトラフィックの覗き見はできないにせよ、接続を特定して切断することはできるかもしれない。この種の攻撃は、Torのようなプライバシーと匿名性の保護を目的とするサービスの価値を下げるのに利用されるおそれがある。

 Linux向けのパッチは7月11日にリリースされたが、Androidの最新の月例パッチには間に合わなかった。

 この脆弱性は9月のパッチで、大々的に報じられた「Quadrooter」脆弱性とともにおそらく修正されるはずだ。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

-PR-企画特集