ニュース

スマホにも“Heartbleed”脆弱性、検査アプリをTrend Microが公開

 オープンソースのSSL/TLSライブラリ「OpenSSL」に見つかった脆弱性“Heartbleed”の有無をチェックするAndroidアプリ「Heartbleed Detector」をTrend Microが公開した。インストールされているAndroid OSや各アプリに、OpenSSLライブラリの脆弱性のあるバージョンが使われていないかチェックする。

Heartbleed Detector(Androidアプリ版)

 Heartbleedの脆弱性は、OpenSSLを実行しているシステムのメモリ上の情報が摂取されるというもの。主にSSLサイトのサーバー側からの情報漏えいが懸念されているが、クライアント側でも同様に情報漏えいの危険がある。

 「アプリの接続先が不正なリモートサーバーだった場合、ユーザー側からのHeartbleed脆弱性を利用した攻撃が可能になります。こうした攻撃は、当然のことながら、ユーザーの端末上のメモリをサイバー犯罪者にさらすことになります。メモリにはローカル上に保存されたアプリの重要な情報が含まれいている可能性があります。脆弱性を抱えるVPNクライアントやVoIPアプリから不正なサービスに接続した場合、秘密鍵やその他の認証情報が収集される恐れがあり、サイバー犯罪者はあなたの身分をかたり、悪用する可能性があります。」(Trend Micro)

 なお、Android OSでHeartbleedの脆弱性があるのは、バージョン「4.1.1」のみだという。

 Heartbleed Detectorではこのほか、インストールされている各アプリの接続先が、この脆弱性を抱えたサーバーとなっていないかもチェックする。Trend Microの調査によると、4月11日時点で「Google Play」の約39万アプリのうち約7000アプリが脆弱性を抱えるサーバーに接続していることが判明したという。

 「Heartbleedに対して、いったい何ができるでしょうか。残念ながら、ユーザーにできることはあまりありません。パスワードを変更するのも1つの手ですが、アプリ開発者やウェブサービスプロバイダーが、OpenSSLを修正済みバージョンに更新する、もしくは少なくとも問題となっているHeartbeatを無効にするなどの対処を行わない限り、役に立ちません。アプリ開発者がこの脆弱性に対処した更新プログラムを公開するまでは、ユーザーはアプリ内での購入や銀行に関連した取引を控えるようにして下さい。」(Trend Micro)

 Trend Microでは、Heartbleed DetectorのウェブページおよびGoogle Chromeアプリも公開している。URLを入力することで、そのサイトのHeartbleed脆弱性の有無をチェックできる。

Heartbleed Detector(ウェブ版)

(永沢 茂)