ワンクリックで侵入

難度の高いハッキングに成功したチームには、攻撃に使用したソース・コードをメーカーに独占提供することを条件に賞金が支給される（メーカーはその情報を元に対策を施す）。冒頭のハッキングもゼロデイであり、これまで未発見だったものだ。ハッキングに成功したのは、三井物産セキュアディレクション（MBSD）社の4人の技術者からなる日本人ハッカー・チームで、総額5万ドルの賞金を獲得している。

今回ハッキングされた端末は、米グーグルのアンドロイドOSを搭載した韓国サムスン社製の「ギャラクシーS4」。発見された脆弱性は、端末にプリインストールされているアプリと、サムスンが独自にカスタマイズした「アンドロイド・フレームワーク」（アンドロイドを制御するために、グーグルが端末メーカーやアプリ開発会社に提供している開発用ソフトウェア）にあった。国内外のギャラクシーS4に共通するものだ。

MBSDチームは、その脆弱性を起点に、端末とアンドロイドOSを繋ぐシステム領域に侵入。端末をほとんど自由に制御できるシステムユーザー権限（完全制御するには一段上のルート権限が必要）を乗っ取ることに成功したという。

システムユーザー権限さえ乗っ取ってしまえば、あとはほぼ好きなように操作できる。先述した動作以外にも、「例えばシャッター音を出さずに写真撮影を行い、データをサーバーに送ったり、音声通話を使って盗聴なども可能。さらに、保存されたデータの内容やGPSデータを解析すれば、誰がどこで使っているかまで分かる可能性が高い」（MBSDチームの一人）というから恐ろしい。

侵入のきっかけは、ユーザーを悪意あるウェブページにアクセスさせるだけだ。アクセスすると自動的に不正アプリがこっそりとインストールされ、あとは先述したように端末を操られ、個人情報は筒抜けになる。さらに、たちが悪いことにこの脆弱性を使えば、端末がリセットされても不正アプリを常駐させ続けることも可能だという。

たとえ、パソコンに送られてきた不審なメールは開かなくても、スマホではフェイスブックやツイッターを通して送られてきたアドレスや画像はついついクリックしがちだ。今はツイッターなどで使われるURLを短縮するサービスも多いから、以前より受け取り手をだますのは容易になっていると危惧する業界関係者は多い。

脆弱性の6割はメーカー側

今回の脆弱性は、幸運にもMBSDというセキュリティを守る側の「ホワイト・ハッカー」により突き止められたため、悪用される前にサムスンに伝えられた。だが、悪意ある「ブラック・ハッカー」が先に見つけていれば、13年5月頃からロシアを中心に猛威をふるったウイルス「Obad.a」を超える騒ぎとなっただろう。

Obad.aはSMS（ショートメッセージサービス）のスパム経由で広がり、アンドロイド端末に侵入。電話番号や端末識別番号、電話料金の残高などが犯人側のサーバーに暗号化されて送られていたとみられているが、今回のギャラクシーの脆弱性は、それ以上をコントロールできる権限を与えかねないものだ。もし、発見が遅れていれば、サムスンを揺るがす大問題になったかもしれない。

MBSDチームの一人は「実はアンドロイドの脆弱性の6割は、メーカー側がカスタマイズした部分で見つかっているという調査もあり、今回のサムスンのケースもまさにそうでした。ウェブアプリのセキュリティは診断しても、フレームワークなどのよりハードウェアに近い階層まで診断しているメーカーは少ないのでは」とスマホ業界の現状に警鐘を鳴らす。

とはいえ、ユーザーにできる防御策は限定的だ。OSやアプリのアップデートと、不審なURLは開かないという古（いにしえ）からの教えを守るしかない。