McAfee Labs(マカフィー・ラボ)の研究者らは、グーグルのGoogle Playストアで配信されていたAndroidアプリ50本以上がマルウェアに感染していたことを突き止め、報告書と警告を公表した。このマルウェアの悪用に成功すれば、最終的にはスマートフォンを遠隔から完全に操作できるようになるおそれがある。これらのアプリの合計ダウンロード数は230万回を超えていた。
ただしグーグルは筆者に対し、このマルウェアが悪用する脆弱性については、2021年以降、端末がすでに保護されているため、ユーザーが心配する必要はないと説明した。
問題のマルウェアは、新たに確認された「NoVoice」である。感染していたアプリは、画像ギャラリーからゲーム、システムユーティリティまで幅広い。知っておくべき点は以下の通りだ。
Google Playのアプリ50本でNoVoiceマルウェアを確認
残念ながら、Androidを狙うセキュリティ脅威は珍しいものではない。筆者は今年に入ってからだけでも、ファームウェアのバックドアから、60秒で成立するAndroidスマートフォンのハッキングまで、さまざまな事例を報じてきた。しかし、Androidマルウェアはほぼ間違いなく、スマートフォンにとって最大のセキュリティ上の脅威だ。だからこそ、McAfeeのような有力なサイバーセキュリティ企業が、Google Playストアで配信され、200万回以上ダウンロードされたAndroidアプリ50本が危険な新種マルウェアに感染していると警告を出せば、筆者は注目せざるを得ない。
表向きは通常通り動作、バックグラウンドで攻撃コードをダウンロード
この警告は、McAfeeのモバイルリサーチチームに所属するアフマド・ズバイル・ザヒドが執筆したMcAfee Labsの報告書「Operation NoVoice: Rootkit Tells No Tales」によるものだ。それによると、アプリは表向きは通常通り動作しているように見えるが、「バックグラウンドではリモートサーバーに接続し、端末の情報を調べ、その端末のハードウェアとソフトウェアに合わせたroot権限奪取用の攻撃コードをダウンロードする」という。もし攻撃が成功すれば──この点はきわめて重要なので後で触れるが──攻撃者は端末を完全に支配し、「その瞬間から」、ユーザーが開くすべてのアプリに「攻撃者が制御するコード」が注入されると、McAfeeは説明している。
セキュリティパッチレベルが2021年5月1日以降なら、影響は受けない
確かに非常に危険に聞こえる。だが、ここには落とし穴がある。ザヒドは「このブログで説明しているマルウェアは、Androidが2016年から2021年にかけて修正パッチを提供した脆弱性に依存している」と認めている。つまり、スマートフォンのAndroidセキュリティパッチレベルが2021年5月1日以降であれば、McAfeeの報告書によると、同社が指令サーバーから入手できたエクスプロイトの影響は受けないということになる。ただしザヒドは、「これらのアプリをダウンロードしたパッチ適用済みの端末でも、われわれが発見したもの以外の未知のペイロードにさらされていた可能性はある」とも述べている。
Google Playプロテクトが自動的に削除し、新たなインストールもブロック
それでも筆者には、これはどちらかといえばサイバー版のコップの中の嵐のように思える。そして実際、筆者が問い合わせたグーグルの見解もそうだった。
グーグルの広報担当者は、筆者がコメントを求めた際、次のように回答した。
「このマルウェアが依存している脆弱性には、Androidが数年前のセキュリティ更新で対処済みです。そのため、端末が2021年5月以降に更新されていれば保護されています。さらに防御を強化するため、『Google Playプロテクト』がこれらのアプリを自動的に削除し、新たなインストールもブロックします。ユーザーは常に、自分の端末で利用可能な最新のセキュリティ更新をインストールしてください」。
