ファームウェアレベルで「Android」のセキュリティ強化を目指すグーグル

今回は「ファームウェアレベルで「Android」のセキュリティ強化を目指すグーグル」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Googleは現在、「Android」を搭載したスマートフォンやタブレットのサイバーセキュリティ強化に向け、ファームウェアレベルでエコシステム全体の防御を堅牢化しようとしている。

 ファームウェアとは、デバイスのハードウェアを設定したり制御するために舞台裏で動作しているコンピューターソフトウェアだ。ファームウェアはこうした位置付けであるため、たいていはデバイスの電源を入れた際に最初に実行されるコードであり、システムのその他全ての部分を支える土台となる。

 詰まるところファームウェアは、デバイス自体と、ハードウェアのセキュリティ設定をも内包したOSに関連する、セキュリティ面での主要な役割を担っているということだ。

 ファームウェアはあらゆる観点からデバイスを管理するという重要な役割を担っているため、スマートフォンやタブレットがファームウェアレベルで攻撃者の手に落ちた場合、そのデバイスは攻撃者からの永続的、かつ検知の著しく難しいアクセスを許してしまう可能性がある。そうなってしまうと、攻撃者は被害者のありとあらゆる行動を監視したり、機密情報を盗んだり、さらには該当デバイスを機能停止に追い込むことすら可能になる。

 ファームウェアへの攻撃は大々的に遂行されているわけではなく、多くの場合は標的を限定したかたちで遂行されている。とは言うもののGoogleは、Androidのファームウェアに潜む脆弱性を見つけ出そうとするサイバーセキュリティ関連の調査活動の増加と同社が表現する状況に対処しようとしている。

 同社のリサーチャーらは「Google Security Blog」に、「Androidプラットフォームのセキュリティが着実に強化されてきている中、一部のセキュリティリサーチャーらはファームウェアを含む、ソフトウェアスタックの他の部分に焦点を移してきている」と記している。

 このブログ投稿には「こうした副次的プロセッサーに搭載されているファームウェアの脆弱性については、ここ10年以上にわたって数々の論文や発表、ハッキングコンテスト『Pwn2Own』の勝者のプレゼンテーション、脆弱性データベースで語られてきている」とも記されている。

 こういった脆弱性の中には、特にWi-Fiや携帯電話のベースバンドに関する機能に潜んでいる脆弱性を悪用し、デバイス上でリモートコード実行(RCE)攻撃を仕掛けられるようなものもあった。

 Googleは今後、他の領域のコードをセキュアにする過程で学んだ教訓を生かし、起こり得るサイバー脅威からデバイスとユーザーを保護するためのファームウェアの堅牢化によって、Androidのセキュリティを強化していくとしている。

 このプロセスにおいて、コンパイラーベースのサニタイザー(コンピュータープログラムのバグを検出するプログラミングツール)の強化のほか、ファームウェアにおけるその他のエクスプロイトの緩和とともにメモリー安全性の強化も実施されることになる。メモリー安全性の強化という点では、バッファオーバーフロー攻撃などによる、ファームウェアのメモリーに対する直接攻撃からの保護に目が向けられる。

 Googleが指摘しているように、このアプローチを推進するにあたってはいくつかの課題が存在している。

 Googleは同投稿に「ハードウェアを直接操作するファームウェアを堅牢化し、さまざまな観点からAndroidの保護レベルを引き上げるというのは、Androidのセキュリティ面における優先課題の1つだ」と記しており、同社はAndroidデバイスのメーカーも後に続いてほしいと考えている。

 「今後のわれわれの目標は、これらの緩和テクノロジーをより多くのハードウェアに向けて拡大していくことだ。また、われわれのパートナーも歩調を合わせるよう強く促したい。われわれは、エコシステムのパートナーらがファームウェアを堅牢化するために必要とするであろう支援をいつでも提供できる」(Google)

COMMENTS


Recommended

TITLE
CATEGORY
DATE
プロセスマイニング技術は日本企業のDXに大きなインパクトをもたらすか
IT関連
2022-07-30 00:27
「Fujitsu Uvance」を中心に企業体質の強化を目指す–富士通・時田社長
IT関連
2024-01-06 03:28
「Microsoft 365」アプリが間もなく「IE 11」非対応に–マイクロソフトがあらためて呼びかけ
IT関連
2021-07-27 18:32
ランサムウェアはKubernetesの脅威に–ベリタス調査
IT関連
2022-04-13 12:25
「Windows 365」に複数の新機能–「Windows 11」との連携を強化
IT関連
2022-04-07 23:47
契約審査「LegalForce」、自動レビュー機能が就業規則に対応–条項の抜け漏れなどを防止
IT関連
2022-12-18 17:35
NEC、脳活動から着想した時系列データ向けのAI開発–分析を最大20倍高速化
IT関連
2021-05-13 19:42
中小企業向け保険テックのNext Insuranceが276.8億円を調達、1年足らずで評価額を4428億円超に倍増
ネットサービス
2021-04-05 20:43
日本IBMが顧客について考えていること–先進の半導体、量子、アーキテクチャーに言及
IT関連
2022-12-15 04:39
キーボードを打つ音からパスワードの解読が可能–英大学調査
IT関連
2023-08-15 14:16
マイクロソフトと独VW、自動運転ソフトウェアの開発で提携
IT関連
2021-02-16 16:49
プログラマによるプログラミングのためのBGMなど、仕事や勉強の邪魔にならない無料で使えそうなBGM集。2021年版
開発ツール / 言語 / プログラミング
2021-06-11 09:30
ドトールコーヒーのグループ店舗約1200店がPayPayやd払いなど9種類のコード決済サービスを3月導入
フィンテック
2021-02-16 03:12
GitLab、AI機能スイート「GitLab Duo」に開発支援チャットを搭載
IT関連
2023-11-14 17:36