95%のAndroid端末に存在する「Stagefright」脆弱性の対策方法をAvast!が公開



「見るだけ」で端末がハックされる最恐のAndroid虚弱性が発見か。95%のAndroidユーザーがリスク | スマホ評価・不具合ニュース「見るだけ」で端末がハックされる最恐のAndroid虚弱性が発見か。95%のAndroidユーザーがリスク | スマホ評価・不具合ニュース
95%のAndroid端末にMMSを受信するだけで端末を乗っ取られる脆弱性が発覚、対策はこれ - GIGAZINE95%のAndroid端末にMMSを受信するだけで端末を乗っ取られる脆弱性が発覚、対策はこれ – GIGAZINE

7月28日に国内メディアを賑わせたこの話題、影響を受ける範囲が広いだけでなく、仕込まれたMMSを受信した時点でアウトとなるため放っとくと危険という点、攻撃のトリガーがMMSの受信となるためユーザーが寝てる間にコッソリ攻撃することも可能な点からかなり危険視されています。

対策方法は意外と簡単で、端末に入っている「MMSを受信できるアプリ」の設定を変更して自動受信を止めることで被害を軽減する、簡単にイメージするならフィッシングスパム程度まで危険度を下げる方法が推奨されています(要するに「開かない(受信しない)限り大丈夫」な段階までリスクを下げる)。

GIGAZINEにも対策は載っていますが、ハングアウトだけです。
他のアプリ、例としてGoogleの新SMSアプリ「メッセンジャー」や世界最大級のチャットツール「What’s App」での設定方法をAvast!が公開しています。

Avast! blogをチェック

Avast blog » Big Brother(s) Could be Watching You Thanks to Stagefright  Avast blog » Big Brother(s) Could be Watching You Thanks to Stagefright  

標準のメッセージアプリ(ただし海外版)、ハングアウト、メッセンジャー、What’s Appの対策方法が図解付きで掲載されています。
リンク先は英語ですがスクリーンショットを見ればだいたいわかると思います。

仕組みを知ってれば焦らずに済む

っていうとちょっと語弊がありますが、漠然と危ないな~というイメージだけを抱いているといざ変なものを受信した時に焦って余計なことをしてしまいがちです。
スパムメールに引っかかる人も、どっちかっていうと「よくわからず開いちゃった」ケースより「文面に焦ってクリックしちゃった」ケースのが多いんじゃないかななんて思ったり。
だから業者はあんなに手の込んだメールを作るんでしょうしネ。

今回の脆弱性はMMS(マルチメディアメッセージングサービス)の仕組みを利用します。

MMSが何かについても興味のあるところですが、そこはさして重要じゃないので簡単にイメージできればいいです。
文字数制限(容量制限)があるかわりに安いSMSを拡張し、もっと大きな容量(多くの情報)を送れるのがMMSです。

このMMSにMP4形式の動画を添付するのが手口のようです。

使用しているMMSアプリで自動受信が許可されていると、受け取った時点でこのMP4を再生(=開く)、もしくはダウンロード(=ファイル全体をストレージに保存)するようになります。
この時にMP4の中に仕込まれたコードが攻撃を行なうという仕組みです。ものすごく大雑把だと思いますがそんな感じで考えていいはずです。

これが今回の脆弱性を突いた攻撃をフィッシングスパムに例えた根拠です。
スパムの場合、本文に記載されたURLをクリックする、もしくは添付ファイルを開いた時点でアウトとなりますからネ。

が、今回の「Stagefright」脆弱性のタチの悪い部分は「開く」操作を必要としないところです。
受信した時点でアウトとなるため、仕込まれたコードなどを偽装して受信者に「実行」させる必要がありません。
GIGAZINEでも「眠っている間に一方的に脆弱性を利用して攻撃を行い、目が覚める前にその痕跡を消し去ることすら可能です。」と説明されています。

「自動受信」だけは今すぐに、確実に解除しておいたほうがよさそうです。

冒頭でもちょっと触れましたが、現時点でこの脅威の対策は万全ではありません。
「自動受信しない」を言い換えると「手動で(自分の意思で)受診することはできる」状態です。
そして今説明した仕組みのため、受信した時点でアウトです。

が、仕組みが似てるなら対策も同じものが通用する場合が多いです。

  1. 送信者を確認(捨てアドっぽくないかとか)
  2. 本文の文脈(特に日本語が間違ってないか)を確認
  3. URLが記載されている場合はドメインを確認(短縮URLは特に注意)
  4. 可能であれば添付ファイルの種類(拡張子)を確認

受信するか否かを判断する材料は結構あります。また、仮に受信してしまったとしても、「それが危険なものかどうか」を判断する材料も意外と残っています。

こういう時に慌てると、

  • 中身を確かめようとしてファイルを隅々まで見てしまう
  • 情報を集めようとしてネット接続を許可してしまい、脅威を拡散する
  • 「こんなものが届いたんだけど…」と、友人などに脅威が格納されたファイルを転送してしまう
  • 実は攻撃でもなんでもないただのスパムだったのに、大事をとって初期化してしまう
  • 上記含め端末を散々かき回した後でキャリアなどに泣きつく

といった行動を起こしてしまいがちです。
※トラブルシューティングを求める場合、「直前の操作(何をしたらトラブルが起きたのか)」「発生後の操作(相談するまでにどんな対策を施したか、その結果はどうか)」がわからないと対応はほとんど期待できません。

肝心なのは原因究明よりも駆除です。

怪しいと思ったファイルは1秒でも早く捨てる、そしてすぐにセキュリティソフトでストレージを隅々までチェックしてみましょう。確実に検出される保証はありません(特に、新しい脅威の場合セキュリティソフト側が対応できていないことが多い)が、やる価値は十分あります。

また今回の脆弱性の場合、パッチなどがOTAで配信される必要があるとされているため、端末によっては公式な対応が遅れる(あるいは見捨てられる)可能性も捨てきれない気がします。
例として5.2で対策します!とかなったら既にロリポを打ち切られてる端末は全滅します(ものすごく大雑把な例えです。現実には起こらないとは思います)。

また、根本的なMMSの仕様が改善されたとしても、それはただ単にこの種類の攻撃がスパムになるというだけで抜本的な改善(=攻撃自体を不可能とすること)にはならないはずです。

そういったことも考えると、攻撃の仕組みや種類や対策を知っておくことは決してマイナスにはならないと思います。

追記:Pushbulletも危険性は低そうです

MMSに対応したアプリってどれだっけと思って探してて見つけたのが「メッセージ(これが国内キャリア版標準のSMSアプリ)」、「ハングアウト」、そして「Pushbullet」でした。

このうちハングアウトの対策方法はGIGAZINEに載っています。

「メッセージ」には設定として自動受信を停止する項目が見つからなかったのですが、大丈夫なんでしょうか。
というかこのアプリMMS対応してたっけ?

不安な場合はSMS用アプリを変更してみると良いしょう。

「設定」→「その他の設定」から「標準のメッセージアプリ」を選んでハングアウトに変更するだけです。

もう1つ、PushbulletもSMS送受信機能を持っています。

Google play Pushbullet

Pushbullet
制作: Pushbullet
評価: 4.6 / 5段階中
価格: 無料 (2015/8/3 時点)

posted by: AndroidHTML v3.1

が、どうもPushbulletはSMS(テキストオンリーの小さな容量のメッセージ)のみでMMSには対応していないようです。
※リンク先はRedditです。

Too Many RequestsToo Many Requests

今年1月のスレッドのため最新の情報とは異なる可能性もありますが、たぶん大丈夫だと思います。たぶん。

そんな感じ。

コメントを残す

メールアドレスが公開されることはありません。