気付かないうちに乗っ取り完了？ 最新のAndroid脆弱性が怖すぎる件：565th Lap

Androidスマートフォンにかなり危険な脆弱性が見つかった。なんでも"全て"のアプリを装いユーザーのデータや認証を奪うことが可能という。その真相とは。

[キーマンズネット]

　Androidスマートフォンに新たな脆弱（ぜいじゃく）性が見つかったとして話題になっている。Android 9.0以前のデバイス全てに影響があり、悪用されれば全てのアプリが乗っ取られる可能性もあるのだという。そんな“かなり危険”な脆弱性の、真相とは──？

　この脆弱性情報は、ノルウェーのセキュリティ企業Promonによって公表されたことに端を発し、複数のセキュリティ系のニュースサイトで取り上げられ拡散されている。

　この脆弱性は「Strandhogg 2.0」と呼ばれ、古代スカンジナビア語に由来する「残虐な略奪行為」を意味するという。その名の通り、Strandhogg 2.0はかなり危険なのだ。

　Strandhogg 2.0を悪用したマルウェアは、正規アプリを装ってアプリを乗っ取るような動作をする。どのようなアプリでも制限なく装えるため、危険度が高いとされている。しかも、複数のアプリを同時に攻撃できるという。

　もし乗っ取りが発生していても、ユーザーが気が付かずにいつも通りアプリを使い、求められたIDやパスワード、クレジットカード情報などを入力していると、悪意ある第三者のもとへそれらの情報が送られてしまう。

　さらにStrandhogg 2.0は、アプリの認証も乗っ取ることが可能だ。デバイスに保存されている連絡先や写真といったデータを抜き取ったり、メッセージアプリの会話データを盗んだり、デバイスのGPS位置情報から追跡したりもできてしまう。

　Promonによると、Strandhogg 2.0を悪用したアプリを発見する手段は今のところなく、挙動把握することは不可能という。しかし、現時点ではこの脆弱性が実際に利用されたという被害報告はないという。同社はGoogleに「危険度“重大”」として判断、対処されるまで公表を控えていたという。

　Googleは既に対応済みだが、サポートを終了しているバージョンもある。Android 8.0、8.1、9.0などへは2020年5月にパッチが提供された。その他のOSユーザーは「Google Playプロテクト」によって、Strandhogg 2.0を悪用するマルウェアを含むアプリをスクリーニングできる。

　なおこのStrandhogg 2.0は2019年12月に公表された脆弱性「Strandhogg」の次世代版だ。Strandhoggには既に対応済みだが、Strandhogg 2.0では通用せず、今回の警告となった。

---

上司X：　Androidスマホに脅威となる脆弱性が見つかったという話だよ。

ブラックピット：　また物騒な名前で……。

上司X：　発見したPromon社がStrandhogg 2.0のアイコンも発表しているんだが、それが北欧のほら、ヴァイキングというかなんというかそういうデザインなんだよ。

ブラックピット：　なるほど。暴虐の限りを尽くしそう。

上司X：　今のところ悪用された形跡はない、というが、破壊力がかなり高いのは間違いない。気付かないうちに情報抜かれまくりの可能性があるんだからな。

ブラックピット：　そもそも動いているところを把握できないなら、悪用されていないと言い切れるのか……。

上司X：　そういう悪魔の証明のようなことはやめておこう。

ブラックピット：　もちろん自分のスマホにパッチはあてますし、これからもアヤシゲなアプリは導入しません。自己防衛です！

上司X：　おう。キミの言うように自己防衛するのが最善のようだ。Strandhogg 3.0も登場してさらに世界が混乱……なんてことにはならないように願いたいものだ。

ブラックピット（本名非公開）

年齢：36歳（独身）
所属：某企業SE（入社6年目）

昔レーサーに憧れ、夢見ていたが断念した経歴を持つ（中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった）。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。

上司X（本名なぜか非公開）

年齢：46歳
所属：某企業システム部長（かなりのITベテラン）

中学生のときに秋葉原のBit-INN（ビットイン）で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR（でも中古らしい）。人懐っこく、面倒見が良い性格。