サムスン震撼「丸裸」にされたギャラクシー

日本人ハッカーが「ギャラクシー」乗っ取りに成功。スマホの個人情報が丸見えになる瞬間。

2014年1月号 BUSINESS

  • はてなブックマークに追加

ハッキングされた「ギャラクシーS4」と、ハッキングに使用したPC。PCの画面にはギャラクシーの操作画面がリアルタイムで映っている

「スマホ端末のハッキングを行い、スクリーンショットを、リアルタイムにサーバーへ自動送信することに成功しました」

11月13日、東京・青山で行われた国際的なハッキング・コンテスト「Mobile Pwn2Own 2013」の会場で、ひときわ注目を集めたのが、最新スマートフォンを外部から乗っ取り、端末が表示している操作画面を外部から覗き見するハッキングのデモンストレーションだった。

スマホの操作画面が外部のサーバーに次々と送信され、端末の利用者が何をしているかがまさに丸裸になったのだ。さらに、デモを行ったハッカー・チームは、端末に保存されているユーザー情報や電話帳、通話履歴、SMS履歴、ブラウザ履歴なども盗み出すことに成功。スマホが内包する脆弱性と怖さが改めて突きつけられた瞬間だった。

その手口を説明する前に、Mobile Pwn2Ownについて簡単に説明したい。同大会は世界中のサイバー・セキュリティ専門家や企業が集うカンファレンス「PacSec 2013」の催しの一つとして行われたコンテストで、各ハッカー・チームがiPhoneやアンドロイド、ブラックベリーなどから任意の端末を選び、ハッキングの腕を競うというもの。ただ、一般的なハッキング・コンテストでは、主催者側が用意した端末への侵入方法やスピードを競ったりすることが多いが、同コンテストの主眼は「ゼロデイ」を発見することにある。

ゼロデイとは、ソフトウェアの脆弱性が発見された時点のことで、開発側が対策できていない期間にサイバー攻撃を行うことを「ゼロデイ攻撃」と呼ぶ。各チームは大会に向けて、モバイル端末に潜む未発見の脆弱性を探し出し、それを起点に端末を乗っ取る方法を考案。大会でそのデモを行い、その難易度に応じて評価を受ける。

ワンクリックで侵入

難度の高いハッキングに成功したチームには、攻撃に使用したソース・コードをメーカーに独占提供することを条件に賞金が支給される(メーカーはその情報を元に対策を施す)。冒頭のハッキングもゼロデイであり、これまで未発見だったものだ。ハッキングに成功したのは、三井物産セキュアディレクション(MBSD)社の4人の技術者からなる日本人ハッカー・チームで、総額5万ドルの賞金を獲得している。

今回ハッキングされた端末は、米グーグルのアンドロイドOSを搭載した韓国サムスン社製の「ギャラクシーS4」。発見された脆弱性は、端末にプリインストールされているアプリと、サムスンが独自にカスタマイズした「アンドロイド・フレームワーク」(アンドロイドを制御するために、グーグルが端末メーカーやアプリ開発会社に提供している開発用ソフトウェア)にあった。国内外のギャラクシーS4に共通するものだ。

MBSDチームは、その脆弱性を起点に、端末とアンドロイドOSを繋ぐシステム領域に侵入。端末をほとんど自由に制御できるシステムユーザー権限(完全制御するには一段上のルート権限が必要)を乗っ取ることに成功したという。

システムユーザー権限さえ乗っ取ってしまえば、あとはほぼ好きなように操作できる。先述した動作以外にも、「例えばシャッター音を出さずに写真撮影を行い、データをサーバーに送ったり、音声通話を使って盗聴なども可能。さらに、保存されたデータの内容やGPSデータを解析すれば、誰がどこで使っているかまで分かる可能性が高い」(MBSDチームの一人)というから恐ろしい。

侵入のきっかけは、ユーザーを悪意あるウェブページにアクセスさせるだけだ。アクセスすると自動的に不正アプリがこっそりとインストールされ、あとは先述したように端末を操られ、個人情報は筒抜けになる。さらに、たちが悪いことにこの脆弱性を使えば、端末がリセットされても不正アプリを常駐させ続けることも可能だという。

たとえ、パソコンに送られてきた不審なメールは開かなくても、スマホではフェイスブックやツイッターを通して送られてきたアドレスや画像はついついクリックしがちだ。今はツイッターなどで使われるURLを短縮するサービスも多いから、以前より受け取り手をだますのは容易になっていると危惧する業界関係者は多い。

脆弱性の6割はメーカー側

今回の脆弱性は、幸運にもMBSDというセキュリティを守る側の「ホワイト・ハッカー」により突き止められたため、悪用される前にサムスンに伝えられた。だが、悪意ある「ブラック・ハッカー」が先に見つけていれば、13年5月頃からロシアを中心に猛威をふるったウイルス「Obad.a」を超える騒ぎとなっただろう。

Obad.aはSMS(ショートメッセージサービス)のスパム経由で広がり、アンドロイド端末に侵入。電話番号や端末識別番号、電話料金の残高などが犯人側のサーバーに暗号化されて送られていたとみられているが、今回のギャラクシーの脆弱性は、それ以上をコントロールできる権限を与えかねないものだ。もし、発見が遅れていれば、サムスンを揺るがす大問題になったかもしれない。

MBSDチームの一人は「実はアンドロイドの脆弱性の6割は、メーカー側がカスタマイズした部分で見つかっているという調査もあり、今回のサムスンのケースもまさにそうでした。ウェブアプリのセキュリティは診断しても、フレームワークなどのよりハードウェアに近い階層まで診断しているメーカーは少ないのでは」とスマホ業界の現状に警鐘を鳴らす。

とはいえ、ユーザーにできる防御策は限定的だ。OSやアプリのアップデートと、不審なURLは開かないという古(いにしえ)からの教えを守るしかない。

   

  • はてなブックマークに追加