Qualcomm製チップに深刻なゼロデイ脆弱性。悪用例も報告される

Qualcomm製チップに深刻なゼロデイ脆弱性。悪用例も報告される

Qualcommのチップセットはハイエンドからエントリーまで幅広いスマートフォンデバイスに搭載されていますが、Qualcomm製スマートフォンチップセット合計64種類において深刻なゼロデイ脆弱性が確認されると同時に、この脆弱性が悪用された形跡があることが明らかになりました。

Qualcommによると、GoogleのThreat Analysis Groupと呼ばれるハッキング脅威を調査するGoogleの研究部門や人権団体のアムネスティ・インターナショナルが発見したとされており、CVE-2024-43047という脆弱性として報告されています。この脆弱性は、OSが使用するメモリマップを管理する過程で解放されたメモリ領域にアクセスし、メモリの破損を引き起こし、悪意のあるコードを実行させるというものです。

この脆弱性は悪意のあるコードを実行できることから、スパイウェアなどのハッキングを可能にするものとなっています。この脆弱性を発見したGoogle Threat Analysis Groupやアムネスティ・インターナショナル、そして米国のサイバーセキュリティ機関であるCISAは、すでにこの脆弱性が悪用されている可能性が高いことも確認しています。

Qualcommは2024年9月時点でこの脆弱性を修正するプログラムを各社Androidデバイスメーカーに提供済みで、現在はAndroidデバイスメーカーが顧客のデバイスに向けてパッチをリリースする段階にあるとのことです。なお、この脆弱性の影響を受けるチップセットにはSnapdragon 8 Gen 1やSnapdragon 888/888+などがあり、Motorola、Samsung、OnePlus、Oppo、Xiaomi、ZTEなどが製造する多数のAndroidスマートフォンに搭載されています。これにより、世界中で数百万人のユーザーのデバイスが脆弱性に晒されている可能性があります。

幸いなことに、このゼロデイ攻撃は限定的かつ標的を絞った攻撃に使用されているようです。限定的かつ標的を絞った攻撃とは、政府が敵対する政府要人に向けて脆弱性を利用するなどが考えられますが、現時点では不特定多数を狙った攻撃には発展していないようです。ただし、今後も不特定多数を狙った攻撃に晒される可能性があるため、該当するチップセットを搭載するスマートフォンを持っているユーザーはアップデートを行うことが推奨されます。

Qualcommでは影響を受けるチップセットが合計64種類あると明らかにしていますが、この中でスマートフォン向けチップセットに当たるSnapdragonシリーズとして代表的なものは以下の通りです。

関連商品

SwitchBot CO2センサー 二酸化炭素濃度計 温湿度計

スイッチボット(SwitchBot)

• Amazon
• 楽天市場
• Yahooショッピング