Androidスマホは、OSはGoogleのAndroid OSがベースだが、ハードウェアはベンダーによって仕様が異なる。しかし、多くのAndroidスマホに影響する問題が見つかったという。
スマホの2強と言えば、「iPhone」と「Android」スマホだ。しかし、Android OSベースのスマホは、OSからハードウェアまでを一貫して自社で開発するAppleのiPhoneとは異なる。Googleが提供するAndroid OSをベースとする点は同じだが、ハードウェアはそれぞれのスマホベンダーが独自で開発したものだ。
多くのAndroidスマホに共通する問題が見つかったという。それは、OSではなくハードウェアに関するものだ。でも、Androidスマホはベンダーによって仕様が違うため、大きな問題は起こらないはずじゃ……。
世界中のスマホユーザーの約3割に影響する問題とは?
それは、Qualcomm製の「MSM(モバイルステーションモデム)」と呼ばれるチップセットに潜む脆弱(ぜいじゃく)性だ。スマホに搭載され、音声通話やSMS(ショートメッセージサービス)といった基礎機能の他、最近のスマホが備える高度な機能についてもサポートする、いわばスマホにとっては必須のパーツだ。
この脆弱性を報告したのは、イスラエルのセキュリティ製品ベンダーCheck Point Software Technologies。2021年5月6日に同社のセキュリティブログにこの情報が掲載された。
掲載された情報によれば、脆弱性のあるQualcomm製のMSMは、主にAndroid OSを採用したハイエンドスマホに採用され、前述のような基礎機能の他、4G LTE通信や高画質録画といった機能をサポートしているという。そしてMSMはAndroidデバイスでカメラや指紋スキャナーとデータをやりとりする時、Qualcommが開発した独自のプロトコル「Qualcomm MSM Interface」(QMI)を介するという。
このQMIが問題だ。攻撃者は、まずAndroid OSに悪意のあるコードを侵入させ、そこからQMIを改変して乗っ取る。その後、MSMにアクセスできるようにして、ユーザーの通話やSMSの履歴を不正に見たり、通話を盗聴したりするという。場合によってはSIMカードにまで不正アクセスし、端末をロックすることも可能だそうだ。
ここで問題となるのは、QualcommのMSMが実に広く採用されているということ。GoogleやSamsung、LG、Xiaomiといった主要スマホベンダーの比較的最近の機種ではほとんど採用されており、この脆弱性の影響を受けるAndroidスマホは、世界中のスマホの約30%にまで上るとCheck Point Software Technologiesは解説する。
この脆弱性はすでにQualcommに通達され、各スマホベンダーにも連絡済みのようだ。あとはQualcommが提供するパッチで改善されるはずなのだが、さらに問題なのは、Androidスマホでは多くの場合、アップデートはベンダー独自で行っているということだ。つまりパッチがQualcommから提供されると、各スマホベンダーがそれぞれのタイミングでパッチを配布して修正プログラムが適用されるということだ。
そのため、スマホベンダー各社が修正パッチを配布したのかどうか、すでに脆弱性が修正されたのかどうかはよく分からない状態になっている。このことはこの脆弱性について報道したWebメディアの『The Record』も指摘している。
結局のところ、Qualcommが提供するパッチをユーザー自身が直接適用することは難しい。この脆弱性から身を守るためには「スマホのアップデートが配布されたらすぐにインストールしなければ」という意識を持って、ベンダーの情報を小まめにチェックするぐらいしか方法はなさそうだ。Androidスマホユーザーは注意しておきたいものだ。
上司X: 世界中のスマホの約30%が脆弱性の影響を受けるかもしれないっていう話だよ。
ブラックピット: MSMに脆弱性って、また聞き慣れないパーツでずいぶんな問題ですね。そういえば、Qualcommのチップってちょっと前にも何かありませんでしたっけ?
上司X: あー、2020年夏ぐらいかな、「Snapdragon」にスゴい数の脆弱性があったとかなかったとか。あからさまな事件や被害はなかったようで、ウヤムヤになったような……。
ブラックピット: 2020年と言えば、世間的にそういう話どころじゃなかったこともあるかもしれませんね。終わった話なら別にいいですけど。
上司X: しかし、Androidもベンダーによってスペックがバラバラなように見えて、似ているところは似ているというか、共用部分も多いよな。だからこういう1つのチップの脆弱性で30%が大変、みたいなことが起こるわけなんだな。
ブラックピット: でもそれって結局「iPhone」でも同じですよね? それこそ同一世代なら1つの問題で大変なことになりかねないような。
上司X: Androidはたくさんのベンダーがあって、アップデートのタイミングもまちまち、という弱点があるわけだ。iPhoneなら開発元はAppleだけだし、問題が発覚したら一気にアップデートをかけて対処できる。
ブラックピット: なるほど。しかし直っているのか直っていないのかが分からない状況というのも問題ですよねぇ。
上司X: 確かにそうだが、問題が起こることもなく、もちろん事件が起きても被害に遭うこともなく、いつのまにか問題が解決していれば、それはそれでいいじゃないか。しかし多くのAndroidスマホユーザーには、こういう問題があるということを把握してもらって、積極的なアップデートを心掛けてほしいものだな。
年齢:36歳(独身)
所属:某企業SE(入社6年目)
昔レーサーに憧れ、夢見ていたが断念した経歴を持つ(中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった)。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。
年齢:46歳
所属:某企業システム部長(かなりのITベテラン)
中学生のときに秋葉原のBit-INN(ビットイン)で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR(でも中古らしい)。人懐っこく、面倒見が良い性格。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。