datalan

 データ通信を安全に行うためにはSSL(TLS)を用いて暗号化を行いますが、現在はウェブ上の暗号化の導入はまだ完全でないごが現状と言えます。通常のウェブの閲覧は暗号化が行われていないのが現状です。
 今回、8月17日のニュースでこの通信が傍受される危険性があるという発表がありました。


android

 今回、通信の傍受の危険性があるのはAndroid端末で、世界14億台が対象となります。
Androidの脆弱性によるもので、対象となるOSはAndroidバージョン4.4以降の機種すべてが対象となります。

 AndroidのベースであるLinuxのカーネル部分のTCP(通信方式)に重大な脆弱性「CVE-2016-5696」が存在することが明らかになりました。
cpu


 カーネルとは、OSの中核部分のソフトウェアで、ブログラムの実行状態を管理したり、ハードウェアとアプリケーションの機能の受け渡しをおこなったりする部分となります。
 また、プログラムの起動や終了、メモリー領域の割り当てなどCPU周辺と密接な関係にあり、CPUで実行されるプログラムの切り替えなども行います。


Linux-logo

 AndroidはLinuxの一種であり、今回脆弱性が見つかったのはLinuxカーネル3.6以上を使用しているすべてのOSとなります。
 Linuxカーネル3.6以上はAndroid 4.4 (KitKat)以降のすべてのAndroid端末が対象となります。
 脆弱性を修正するために、Linuxカーネルのパッチは2016年7月11日に配布されていますが、Android OSでは同脆弱性に対するパッチは現在配布されていないのが現状です。
 これは、カーネル部分を書き換えた場合、端末等の動作の確認や機能の不具合の発見などいろいろな問題を克服しなければならないため、パッチの配布に時間がかかる可能性があります。
 また、Androidの確認が終了しても各メーカーの端末に対する動作確認があるため、修正パッチの配布はもう少し先になりそうです。

 カーネルの書き換えの場合、通常の修正プログラムとは違い、AndroidのOSすべてを書き換えなければなりません。これはカーネルに付随する周辺プログラムも場合によっては書き換えを行わなければならないので、AndroidのOSの再インストールやアップデートに近い操作が必要になってきます。

 このように、今回の脆弱性はシステム内部の中心部分であるところであるため、対応されるまでは時間がかかると思って下さい。


hac

 今回の件で危険なのは、通常のデータ通信を行った場合第三者に情報が盗まれる危険性があるということです。また、特にAndroidでサーバー構築やサーバーの端末操作などを行っている場合も要注意です。今までの通信傍受とは違い、中継なしでダイレクトにターゲットとなる端末にアクセスでき、直接インターネット経由で簡単に通信内容を傍受されてしまう危険性があるということです。

 特に、Android端末などで個人情報や顧客管理などを行って、通信などでデータのやり取りを行っている場合、暗号化などを行っていなければ、情報の流出などの危険性が大きくなりますので気を付けましょう。

mail


 また、メールなどの送受信も要注意です。メールなどのパスワードやIDなどはあくまで送受信を行うメールサーバーへのパスワード、IDとなります。送受信間は通信の暗号化を行っていない限り、先ほどと同様情報が流出してしまう危険性があります。
 実際、ウェブ閲覧は暗号化を行っていても、このメールの送受信はほとんどは暗号化が行われていないのが現状です。ハッカーはこのメールアドレスの送受信でターゲットとなるIPアドレスを入手し、その後の情報のハッキングに利用してしまいます。ちょっとしたスキからハッカーは情報を盗みます。

 Androidの修正パッチが出るまでは、HTTPSやVPNを使ったセキュアな通信を構築するか、Android端末で、情報が洩れてはいけない内容のデータのやり取りを行わない方が良いと思います。