logo

「Dirty COW」脆弱性を悪用するAndroidマルウェア--日本でも検出

Charlie Osborne (ZDNet.com) 翻訳校正: 編集部2017年09月27日 13時54分
  • このエントリーをはてなブックマークに追加

 Trend Microのセキュリティ研究者は米国時間9月25日、脆弱性「Dirty COW」(CVE-2016-5195)が、「ZNIU」マルウェアサンプルで「AndroidOS_ZNIU」として検出されたと報告している。この脆弱性を悪用する初の「Android」マルウェアだという。

 Dirty COWが最初に明らかになったのは2016年だ。何年もカーネルとLinuxディストリビューションに存在しており、攻撃者はcopy-on-write(COW)機構に競合状態が発生する脆弱性を通じてルート権限に昇格し、リードオンリーのメモリにアクセスできるようになる。そして、遠隔からの攻撃が可能になる。

 Trend Microの研究者であるJason Gu氏、Veo Zhang氏、Seven Shen氏によると、ZNIUは8月時点で少なくとも40の国で存在していたという。被害の多くは中国とインドに集中しているが、米国、日本、カナダ、ドイツなどでも検出されたという。

 Trend MicroがDirty COWとZNUIの統合を分析したところ、悪意あるコードを組み込んだ悪意あるAndroidアプリを1200件以上発見したという。ホストするウェブサイトにはルートキットが含まれており、これがDirty COWを悪用する。これらのアプリの中には、自身をポルノやゲーム関連のソフトウェアと見せかけたものもあるとのことだ。

 これまでに感染したユーザーは5000人以上にのぼるという。

 修正パッチをあてていない場合、Dirty COW脆弱性はAndroid OSの全バージョンに影響する恐れがある。Dirty COWを悪用するZNIUは、ARM/X86 64ビットアークテクチャのAndroidデバイスにのみ影響する。

 「6つのZNIUルートキットをモニタリングしたところ、4つがDirty COWのエクスプロイトだった」とTrend Microは述べている。「残る2つはルーティングアプリの『KingoRoot』と、『lovyroot』エクスプロイト(CVE-2015-1805)だった。KingoRootとlovyrootはARM32ビットCPUデバイスをルート化できる(Dirty COW向けのルートキットはできない)ことから、ZNIUはこの2つを使用している」とも記している。

 Googleは2016年12月、Dirty COW脆弱性を修正するセキュリティアップデートを発行している。だが、このセキュリティアップデートがユーザーの手元にある端末に配信される時期は、ベンダー次第となる。

脆弱性Dirty COW脆弱性を悪用するAndroidマルウェアZNIU
提供:File Photo

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

-PR-企画特集