IPA(情報処理推進機構)のセキュリティセンターとJPCERT/CC(JPCERTコーディネーションセンター)は2011年7月29日、Android OSの一部にSSL(Secure Sockets Layer)証明書の表示に関する危険度が高い脆弱性が見つかったことを公表した。SSL証明書は、Webアクセス時に接続先サーバーの身元(正規のドメイン名であるかどうかなど)を確かめるために使う情報である。
対象となるのは、Android OSの2.2より前のバージョン(全端末が関係するかどうかは現時点では定かではない)。該当するAndroid端末のWebブラウザーで「外部サイトのコンテンツを読み込むタイプのWebサイト」にアクセスし、身元を確認するためにSSL証明書を表示させると、本来の接続先Webサイト(ドメイン名)に対する証明書ではなく、外部サイトの証明書を表示してしまう。脆弱性を発見し、IPAに報告したのはビジネスインフォーメイションガーヴァンの大谷周平氏。
この脆弱性を悪用すると、例えば悪意のあるユーザーがクレジットカード番号などを盗むために、本物そっくりなフィッシング詐欺用Webサイトを立ち上げて、ページ内で一部本物のサイトのコンテンツを読み込むようにするといった手口が使われることが考えられる。この場合、詐欺サイトにアクセスしているにもかかわらず、本物のサイトのSSL証明書が表示されてしまうため、ユーザーが安全なサイトにアクセスしていると誤認してフィッシング詐欺の被害に遭ってしまう危険がある。
IPAとJPCERT/CCでは、両組織が運営する脆弱性対策ポータルサイト「JVN」(Japan Vulnerability Notes)に本日付で脆弱性に関する情報を掲載している。それによると今回の脆弱性の危険度は、「攻撃経路」については遠隔から攻撃可能ということで4段階中最も危険な「高」、「認証レベル」についても認証不要で攻撃可能ということで同じく「高」となっている。
「攻撃成立に必要なユーザーの関与」については、リンクのクリックやファイルの閲覧などユーザー自身の操作が必要になるということで、3段階中2段階めの「中」、「攻撃の難易度」についてはある程度の専門知識や運が必要だが条件がそろう確率が高いということで4段階中3段階目に危険な「中-高」と判定している。
Android OSは、開発元である米Googleがマーケットなどを通じてユーザー端末のOSをバージョンアップする手段を用意しておらず、バージョンアップについては端末メーカーに任されている。したがって、ユーザー側の対策としては、メーカーが修正パッチやファームウエアなどを提供するのを待つしかない。JVNの情報によれば、既にパナソニックが対応ファームウエアの提供を始めているという。
