QualcommのSnapdragonチップセットにゼロデイ脆弱性、既に悪用事例の報告も

世界最大のスマートフォン用チップメーカーであるQualcommが、同社のチップセットに重大な脆弱性が存在し、ハッカーによって悪用されていたことを確認した。この事態は、世界中のAndroidデバイスユーザーに深刻な影響を与える可能性がある。

Qualcommチップセットの脆弱性とその影響

Qualcommは2024年10月11日、同社の多数のチップセットに影響を与えるゼロデイ脆弱性の存在を公式に認めた。この脆弱性は「CVE-2024-43047」として登録され、ハッカーによって既に悪用されていたことが明らかになった。

ゼロデイ脆弱性とは、ソフトウェアやハードウェアの開発者が認識していない、あるいは対策が間に合っていない脆弱性のことを指す。今回の場合、Qualcommが脆弱性の存在を把握する前に、悪意のある攻撃者によって既に悪用されていたという点で極めて深刻である。

Qualcommの発表によると、この脆弱性は「限定的かつ標的型の攻撃に利用されている可能性がある」とのことだ。これは、大規模な無差別攻撃ではなく、特定の個人や組織を狙った攻撃に使用されていた可能性を示唆している。

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、この脆弱性を「既に悪用されている、または現在悪用されている脆弱性」のリストに追加し、その重大性を裏付けている。

脆弱性の発見と確認のプロセス

この重大な脆弱性は、Googleの脅威分析グループ（TAG）とAmnesty Internationalのセキュリティラボによって発見された。両組織は、サイバー攻撃の証拠を発見し、Qualcommに報告した。

Googleのタグは主に政府によるハッキングの脅威を調査する部門であり、Amnesty Internationalのセキュリティラボは市民社会をデジタル監視やスパイウェアから保護することを目的としている。これらの組織が関与していることから、この脆弱性が国家支援型の攻撃に利用されていた可能性が高いと考えられる。

Qualcommの広報担当者であるCatherine Baker氏は、「Google Project ZeroとAmnesty International Security Labの研究者たちが、協調的な開示プラクティスを用いてくれたことに感謝する」と述べ、この協力によって脆弱性の修正を迅速に展開できたことを強調した。

しかし、具体的な攻撃の詳細や標的となった個人、その目的については、現時点で明らかにされていない。Amnesty Internationalの広報担当者Hajira Maryam氏は、この脆弱性に関する調査結果が「近日中に公開される予定」であると述べており、さらなる情報が明らかになることが期待される。

影響を受けるデバイスと対策

Qualcommが公開したセキュリティ報告書によると、この脆弱性の影響を受けるチップセットは64種類に及ぶ。これには、フラッグシップモデルのSnapdragon 8 Gen 1やSnapdragon 888+、ミドルレンジのSnapdragon 660やSnapdragon 680、さらにはFastConnect 6700、6800、6900、7800モジュール、Snapdragon X55 5Gモデムなどが含まれる。

これらのチップセットは、Samsung、Motorola、OnePlus、Oppo、Xiaomi、ZTEなど、多数のAndroidスマートフォンメーカーの製品に搭載されている。つまり、世界中の数百万台のAndroidデバイスが潜在的に影響を受ける可能性がある。

興味深いことに、Snapdragon X55 5GモデムはiPhone 12シリーズにも搭載されているが、今回の攻撃でiPhoneユーザーが標的になったかどうかは明らかになっていない。

Qualcommは2024年9月にこの脆弱性の修正パッチを顧客（デバイスメーカー）に提供したと述べている。同社の広報担当者は、「影響を受けるデバイスに可能な限り早くアップデートを展開するよう、強く推奨している」と付け加えた。

ユーザーとしては、以下の対策を取ることが推奨される：

• デバイスのソフトウェアを常に最新の状態に保つ
• 不審なリンクやダウンロードを避ける
• Google Play Storeなど、信頼できるソースからのみアプリをインストールする
• デバイスメーカーからのセキュリティアップデートに注意を払い、提供され次第すぐに適用する

Xenospectrum’s Take

今回のQualcommチップセットの脆弱性は、モバイルデバイスのセキュリティにおける重要な課題を浮き彫りにしている。チップセットレベルの脆弱性は、オペレーティングシステムやアプリケーションレベルの脆弱性よりも深刻で、対処が困難である。

特に注目すべきは、この脆弱性が「ゼロデイ」として発見され、既に悪用されていた点だ。これは、高度な技術を持つ攻撃者（おそらく国家レベルの組織）が、一般に知られる前にこの脆弱性を発見し、利用していたことを示唆している。

また、この事例は、ハードウェアサプライチェーンの複雑さと、それに伴うセキュリティリスクを示している。Qualcommのような大手チップメーカーの製品に脆弱性が発見されると、その影響は複数のデバイスメーカーや何百万ものユーザーに及ぶ。

今後、デバイスメーカーやソフトウェア開発者は、チップセットレベルのセキュリティにより注意を払う必要がある。同時に、ユーザーも自身のデバイスのセキュリティに対してより積極的な姿勢を取る必要がある。定期的なソフトウェアアップデート、信頼できるソースからのアプリのインストール、不審なリンクの回避など、基本的なセキュリティプラクティスの重要性が改めて強調される。

---

Sources

• Qualcomm: October 2024 Security Bulletin
• TechCrunch: Hackers targeted Android users by exploiting zero-day bug in Qualcomm chips