米国の半導体企業Qualcommは、複数のAndroidデバイスに搭載されたチップセットに存在するゼロデイ脆弱性が、悪意のある攻撃に利用されていたことを確認した。この脆弱性は「CVE-2024-43047」として知られており、限定的かつ標的を絞った攻撃が行われていた可能性があるという。GoogleとAmnesty Internationalの調査チームがこの脅威を確認し、修正パッチが9月に展開されているが、全ユーザーへの適用はまだ進行中だ。
Qualcommのゼロデイ脆弱性が標的に
Qualcommは、Androidデバイスに搭載された複数のチップセットにゼロデイ脆弱性が発見されたことを公表した。脆弱性の識別番号は「CVE-2024-43047」とされ、Googleの脅威解析グループ(TAG)とAmnesty Internationalのセキュリティラボによる共同調査で確認された。この脆弱性は、製造元が認識する前に悪用されたもので、攻撃者が対象デバイスに不正アクセスする可能性がある。
Qualcommは、GoogleとAmnestyの協力により、修正パッチをすでに2024年9月に展開しているが、脆弱性が悪用された具体的な状況や、攻撃がどの程度広がっているのかは明らかにされていない。現時点では、標的とされた個人や組織に関する詳細な情報は不足しているが、政府や特定の企業を狙った攻撃である可能性が指摘されている。
このゼロデイ脆弱性は、Qualcommの「Snapdragon 8 Gen 1」など、多数のチップセットに影響を与えており、これにより数百万台のAndroidデバイスが攻撃対象となる可能性がある。
GoogleとAmnestyが脅威を確認
Googleの脅威解析グループ(TAG)とAmnesty Internationalのセキュリティラボは、今回のQualcomm脆弱性が実際に攻撃に利用されていることを確認した。Google TAGは、国家的なハッキング活動を監視し、特定の脅威に対処する専門部隊であり、今回の脆弱性に関しても迅速に動いた。一方、Amnesty Internationalのセキュリティラボは、市民社会や活動家を守るためにデジタル監視とスパイウェアに関する調査を行っている。
今回の調査では、この脆弱性が限定的かつターゲットを絞った形で悪用されていることが示唆されており、大規模な一般ユーザーへの攻撃ではない可能性が高い。これにより、攻撃者が特定の個人や団体を標的にしていたと考えられるが、どのような目的で行われたのか、また攻撃の規模や影響は明らかにされていない。
Google TAGとAmnestyの発表により、今後もさらなる調査結果が公表される見込みであり、特にどのようなユーザーが被害に遭ったかについての詳細が待たれている。
修正パッチの展開と影響範囲
Qualcommは、2024年9月に修正パッチを展開しているが、Androidデバイスメーカーがこのパッチを各デバイスに適用するには時間がかかるとされている。影響を受けるチップセットは64種類にも及び、特にQualcommの代表的な「Snapdragon 8 Gen 1」モバイルプラットフォームが含まれている。このプラットフォームは、Samsung、Xiaomi、Motorola、Oppo、OnePlus、ZTEなどの主要Androidメーカーで広く使用されており、世界中の数百万台のデバイスが脆弱性の影響を受ける可能性がある。
Qualcommの広報担当者は、パッチが顧客であるデバイスメーカーに提供されていることを確認しているが、すべてのユーザーに対して適用されるまでにはまだ時間がかかると述べている。修正が遅れることで、脆弱性が悪用されるリスクが続いているため、早急なアップデートが求められている。
脆弱性が悪用されている現実が報告されている中、Androidデバイスユーザーは、メーカーが配信するセキュリティ更新プログラムを待たなければならない状態にある。
限定的な攻撃か、それとも拡大の危険性か
今回の脆弱性に関する情報では、攻撃が限定的かつ特定のターゲットに対して行われていると示唆されているが、さらなる攻撃の拡大が懸念される。GoogleとAmnesty Internationalの調査結果から、現時点では大規模な一般ユーザーを対象にした攻撃は確認されていないものの、今後の展開によっては、より広範な攻撃に発展する可能性がある。
これまでに明らかにされている限りでは、攻撃は国家や企業をターゲットにしたものとされ、個人情報の盗難やスパイ活動に関連するものと見られている。しかし、脆弱性が修正されるまでの間、攻撃者はさらに多くのデバイスを狙う可能性もある。
脆弱性の修正が進んでいる現在も、脆弱性を放置しているデバイスは引き続きリスクにさらされている。