http://itpro.nikkeibp.co.jp/article/NEWS/20121114/437284/ 情報処理推進機構(IPA)のセキュリティセンターとJPCERTコーディネーションセンター(JPCERT/CC)は2012年11月14日、主に
国内メーカーが製造した国内向けAndroid端末の複数機種に、DoS(Denial of Service、サービス妨害)攻撃を受ける可能性につな
がる脆弱性が見つかったことを公表した。
両組織が共同で運営している脆弱性情報公開サイト「JVN」(Japan Vulnerability Notes)に同日付けで掲載された情報
(JVN#74829345)によると、同脆弱性は「Android OSを搭載した一部の端末に、特定のシステム領域を参照する際の処理に問題が
あり、これを悪用されるとDoS攻撃を受ける危険性がある」というもの。フォティーンフォティ技術研究所の大居司氏が発見してIPAに
報告した。
具体的に、同脆弱性を利用したDoS攻撃の流れは次のようになる。まずクラッカ(悪意のあるユーザー)は、同システム領域を参照
するリンクを張った“罠Webページ”をネットワーク上に設置する。そして、この罠Webページに脆弱性を持ったAndroid端末ユーザー
がアクセスするように誘導する。誘導されたユーザーがリンクを特定の操作で開くと脆弱性を突く攻撃が発動し、Android端末が異常
終了してしまう。なお、JVNによれば、「同脆弱性は該当端末の実装に依存する問題であり、Androidエミュレータ上で実行しても問題
は生じない」という。
今回公表された脆弱性によって被害を受ける可能性があるAndroid端末は、主要な携帯電話事業者3社(KDDI、NTTドコモ、ソフト
バンクモバイル)にまたがって複数の機種が存在している。14日時点で判明(製品開発者が情報を提供)している端末の型番は以下
の通り(端末のブランド名は省略)。まずKDDIでは、「IS05(android 2.2の端末)」「IS11SH」「IS12SH」「INFOBAR A01」「IS11T」
「IS11CA」「IS11PT」「EIS01PT」の8機種が該当する(JVNの情報ページその1)。
NTTドコモでは「SH-12C」「SH-13C」「N-04C」「N-06C」「F-12C」「T-01C」の6機種(JVNの情報ページその2)、ソフトバンクモバイル
では「003SH」「005SH」「DM009SH」「006SH」「007SH」「007SHJ」「007HW」「008Z」の8機種(JVNの情報ページその3)が対象となる。
脆弱性をふさぐには、基本的に通信事業者あるいは端末メーカーが提供するアップデートを適用するしかないが、端末ごとに対応
状況は大きく異なっている。既に過去のアップデートで対応済みのものもあれば、今後提供予定となっているものもある。該当する機
種を持っているユーザーは、上記事業者ごとに分かれた「JVNの情報ページ」を参照して対応状況を確認しておこう。
.