Pixel端末に脆弱性、米政府では早期更新もしくは使用中止を呼びかけ | Forbes
公開日:
:
Google Nexus Pixel, Security, セキュリティ
この記事にはアフィリエイト広告・広告が含まれています。
米国時間2024年6月11日、GoogleはPixel向けアップデートのなかに端末セキュリティに関する脆弱性が見つかり悪用される可能性を警告した。
Googleは同アップデートに含まれるゼロデイ(セキュリティ上の欠陥のこと)について詳細を明らかにしなかった。しかし、米国政府が職員に対して7月4日までにPixel端末をアップデートするか、製品使用の中止を呼びかけている。これは米国政府職員に対する通達だったが、当然ながら同じ端末を使う個人ユーザーも含まれるため本記事で取り上げていく。
なお、PIxel端末を除いた他のAndroid端末はAndroid 15アップデートまで脆弱性が解消されない可能性も指摘されている。
Pixel端末に脆弱性みつかる。
Forbesは、今回のゼロデイが注目されるきっかけとなった米国政府の警告について、サイバーセキュリティインフラセキュリティ庁(CISA)が管理する脆弱性カタログKEVを通じて発行された内容があると伝えた。
その勧告には「Android Pixel ファームウェアに権限昇格を可能にする未特定の脆弱性が存在する」とだけ記されている。
このPixelアップデート「CVE-2024-32896」に関して、Googleはゼロデイ詳細を明らかにしていない。しかし、脆弱性を指摘していたGrapheneOSが「この脆弱性は4月リリースのアップデートから存在し、すでにフォレンジック企業によって積極的に悪用されている」(X.comへ)と報告。そのうえで同アップデートは2回目の修正アップデートだと伝えて(X.comへ)いる。
さらに、これはPixel固有の問題ではないとも指摘。
GrapheneOSはPixelでは2024年6月アップデート(Android 14 QPR3)で修正されているが、他のAndroid端末は最終的にAndroid 15へのアップデートで修正される予定という。
そのため、Android 15へアップデートしない場合は脆弱性を抱えたまま運用することになる可能性があると続ける。
なお、GrapheneOSは脆弱性は2つ存在し、どちらの問題もPixel以外では未だ修正されていないと警告している。
以上のことから、PixelユーザーはCISAの警告を真摯に受け止めて7月4日までに最新アップデートを適用したほうが良さそうだ。ダウンロードは自動的に行われ、再起動によりインストールが完了するとのこと。Pixel端末が更新できているかはGoogle Pixel ヘルプページ(Googleへ)より確認できる。
Pixel以外のAndroidユーザーの脆弱性はAndroid 15まで続くとしているため、いつリリースされるのか確認した。Android 15の最終ベータ版が2024年8月リリース予定とあるため最短で9月、遅くとも2024年度中には正式リリースされるものと見られている。
Forbesは直近のAndroid関連セキュリティについて、Zscalerの報告としてGoogle Playストアにアップロードされた悪意あるアプリケーションは90以上もあり、分析した限り550万回以上はインストールされていると報じた。このレポート公開はGoogle 6月アップデートの数日前だ。
また2024年6月の今週、Check Pointoのサイバーチーム(Forbesへ)は少なくとも120件の悪意あるトロイの木馬「Rafel」が検出されたと報告。これは主に古いAndroid OS搭載端末をターゲットにしていた。しかし、残念なことに今回の脆弱性を抱えているPixel以外のAndroidユーザーは感染する可能性が指摘されている。
タブクルでは値下げしたAndroidアプリを365日できる限り更新(最新セール記事へ)している。無名な開発者にも光があたるよう配慮しているものの、セキュリティの都合からメジャーな開発会社が多くなってしまう。ユーザーはアプリ権限を確認のうえインストールするなど自己防衛に注力したほうがよさそうだ。