ニュース

AndroidでもWPA2/WPA脆弱性を修正、11月の月例パッチで

Pixel/Nexus向けには未配信?

 Googleは6日、Android向けの月例セキュリティ情報を公開した。通称「KRACKs」と呼ばれるWPA2/WPAにおける9件の脆弱性も含まれる。なお、今月分よりAndroid 4.4.4向けの情報は提供されない

 Androidのセキュリティ情報では、最も危険度の高い“Critical”6件を含む11件の脆弱性を修正する「2017-11-01」、“Critical”3件を含む11件の脆弱性を修正する「2017-11-05」、“High”9件の脆弱性を修正する「2017-11-06」の3つに分かれている。

 このうち2017-11-06が、「KRACKs」と呼ばれているWPA2/WPAにおける脆弱性「CVE-2017-13077~13082」「CVE-2017-13086~13088」の9件を修正するもの。うちAndroid 8.0/7.1.2/7.1.1/7.0/6.0.1/6.0/5.1.1/5.0.2を対象とするものが8件で、Android 8.0/7.1.2/7.1.1/7.0を対象とするのが「CVE-2017-13082」の1件となる。

 2017-11-01でCriticalとされる6件の脆弱性のうち5件はMedia framework、残る1件はSystemにおいて、攻撃者が細工したファイルを悪用し、特権プロセスのコンテキスト内でリモートからコードを実行できる可能性があるものだ。

 2017-11-01で修正される脆弱性のうち、Android 8.0を対象とするのはCriticalの6件を含む11件。Android 7.1.2/7.1.1/7.0/6.0.1/6.0を対象とするのはCriticalの6件を含む10件。Android 5.1.1/5.0.2がCriticalの2件を含む4件。

 2017-11-05でCriticalとされる3件の脆弱性は、Qualcomm Wi-Fiドライバーにおけるもの。いずれも特権プロセスのコンテキスト内でリモートからコードを実行できる可能性がある。

 また、あわせてPixel/Pixel XL/Pixel CとNexus 5X/6/6P/9/Player向けにも月例セキュリティ情報を公開している。これらは「2017-11-05」のパッチレベルに含まれており、53件の脆弱性を修正するもの。“Critical”は含まれない。このほかBluetoothやオーディオ、カメラなどにおける12件の機能アップデートも含まれる。セキュリティアップデートを含むファクトリーイメージは、各デバイス向けにOTAなどで配信される。

 発売から18カ月以内のAndroid One端末やGoogle Play Edition端末には、2週間以内にアップデートが提供される予定。また、端末メーカーなどのパートナー各社には1カ月前までに通知されており、アップデートのソースコードがAndroidのオープンソースプロジェクト(AOSP)リポジトリに48時間以内に提供される予定。

 なお、現在編集部では国内携帯電話キャリアに問い合わせを行っており、回答があり次第、順次お伝えする。

【記事追記 15:48】
 NTTドコモでは、WPA2/WPA脆弱性の対象となるAndroidスマートフォンの機種について「現在調査中」(広報部)とのことだ。

【記事追記 11月8日 11:57】
 KDDI(au)によれば、11月7日に公開されたSamsung「Galaxy S8+ SCV35」「Galaxy S8 SCV36」向けのソフトウェアアップデートにおいて、WPA2/WPAの脆弱性に対応したという。各アップデート情報のウェブページによればセキュリティパッチレベルが2017年10月のものになるとされているが、同社広報によれば、11月7日にGoogleが情報を公開した「2017-11-06」の内容も含まれるとのこと。そのほか、提供可能な機種については、順次対応を進めていくとしている。

【記事追記 11月10日 11:45】
 ソフトバンクによれば、同社並びにワイモバイルから発売されているAndroidスマートフォンについて、Googleからパッチが提供されているAndroid 5.0以降搭載機種については、基本的に対応するとのこと。修正パッチは12月以降に順次配信していくという。

【記事更新 11月14日 13:15】

 一部海外メディアの報道によれば、GoogleがPixel/Nexus各デバイス向けにOTAなどで配信しているセキュリティアップデートには、「KRACKs」と呼ばれているWPA2/WPAにおける脆弱性を修正する「2017-11-06」は含まれていない模様。これに伴い、記事タイトルおよび本文の一部記述を変更しました。