Googleの社内セキュリティ解析チーム「Project Zero」は3月16日(米国太平洋時間)、Samsung Semiconductor(韓国Samsung Electronicsの半導体部門)製の5Gモデムの一部においてゼロデイ脆弱(ぜいじゃく)性が18件見つかったことを明らかにした。
18件のうち4件はインターネット経由でのリモートコードの実行につながる深刻な脆弱性で、対処が済んでいない端末については、セキュリティ上の観点からVoLTE(※1)とWi-Fi Calling(※2)の無効化が推奨されている。
(※1)Voice Over LTE:データ通信専用の規格であるLTEで、携帯電話としての音声通話を行うための仕組み
(※2)無線LAN(Wi-Fi)を通して携帯電話としての音声通話を行う仕組み(日本では導入キャリアなし)
今回の18件の脆弱性は、以下の5Gモデム内蔵SoC(System-on-a-Chip)および単体5Gモデムチップで発見された。
18件の脆弱性のうち7件はCVE(Common Vulnerabilities and Exposures)のコードが割り振られており、その一部はSamsung Semiconductorからもアドバイザリーが公開されている。
現時点でCVEコードが割り振られている脆弱性は以下の通りで、いずれもスコアベースでは「重大(危険)」の評価だ。ただし、Project Zeroによると、★印が付いているものはモバイルオペレーター(キャリア)が“意図的に”仕込むか、デバイスに直接アクセスできない限り攻撃を行えないため、実際の深刻性はそれほどではないという。
(※3)Session Description Protocol:音声や映像のデータをストリーミングする際に、セッションを確立するために必要な情報をやりとりするためのプロトコル。VoLTEを含むインターネット電話(IP電話)でも使われている
他の脆弱性は、現時点ではCVEコードが割り当てられていない。ただし、そのうちの3件はCVE-2023-24033と同様にインターネット経由でリモートコードを実行できてしまう可能性があるという。
本件の脆弱性の影響を受けるのは、先述のSoC/モデムを搭載するスマートフォン、タブレット、スマートウォッチや車載情報機器である。日本で発売されているデバイスでは、以下のものが影響を受ける可能性がある。
また「Exynos W920」を搭載する以下のスマートウォッチも同様に影響する。
今回の脆弱性は端末のソフトウェア更新で解消可能だが、更新の配信スケジュールはデバイスメーカー次第となる。なお、Pixelシリーズでは2023年3月の月例更新で対処が行われている。
対処が済んでいないデバイスについては、セキュリティの観点からVoLTEとWi-Fi Callingの機能を無効化することが推奨されている。ソフトウェアの更新状況については、発売元(メーカーまたはキャリア)に問い合わせるようにしたい。
Copyright © ITmedia, Inc. All Rights Reserved.