米4大キャリア数百万台のスマホに深刻な脆弱性。「知らない間に操作され、痕跡も見つけにくい」

米国の4大携帯電話キャリアと呼ばれるVerizon、AT&T、T-Mobile、Sprintで使われる一部スマートフォンに、重大なセキュリティ上の欠陥があると、モバイルセキュリティ企業Kryptowireが報告しました。Kryptowireは米国土安全保障省(DHS)の資金提供によって、携帯電話ネットワークを調査していました。

発見された脆弱性は、メーカー各社によってスマートフォンに組み込まれており、これを悪用するとユーザーデータや電子メール、テキストメッセージにアクセスができるとのこと。DHSとKryptowireは具体的にどのメーカーのどの製品に脆弱性があるのかを示していません。しかし、数百万規模のユーザーに影響がおよぶことを明らかにし、詳細は今週中に公開するとしました。

DHSでこの件のマネージャーを務めるVincent Sritapan氏は、この脆弱性が「特に専門知識なしに悪用することができると説明します。さらにユーザーの知らない間に侵入、「権限を昇格して操作を引き継ぐ」ことができ、しかも侵入を許したかどうかを見分けるのも難しいとのこと。

この欠陥はKryptowireの調査により、2018年2月にBlu Products製のスマートフォンで初めて発見されました。そしてすぐにメーカー各社に問題が警告されたとのこと。ただ、数百万規模のユーザーに影響することを考えると、4大キャリアはそれなりの対策を速やかに公開しなければならないかもしれません。

なおKryptowireによると、今回の脆弱性は対象となるスマートフォンが多く、ことによると政府関係者にも影響が及ぶ可能性があるとしています。また、脆弱性は米国内だけでなく、対象となるスマートフォンが出荷された他の国でも問題になるかもしれないとのことで、もしかしたら日本国内で販売された端末にも影響がおよぶ可能性もありそうです。