ファームウェアレベルで「Android」のセキュリティ強化を目指すグーグル

今回は「ファームウェアレベルで「Android」のセキュリティ強化を目指すグーグル」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Googleは現在、「Android」を搭載したスマートフォンやタブレットのサイバーセキュリティ強化に向け、ファームウェアレベルでエコシステム全体の防御を堅牢化しようとしている。

 ファームウェアとは、デバイスのハードウェアを設定したり制御するために舞台裏で動作しているコンピューターソフトウェアだ。ファームウェアはこうした位置付けであるため、たいていはデバイスの電源を入れた際に最初に実行されるコードであり、システムのその他全ての部分を支える土台となる。

 詰まるところファームウェアは、デバイス自体と、ハードウェアのセキュリティ設定をも内包したOSに関連する、セキュリティ面での主要な役割を担っているということだ。

 ファームウェアはあらゆる観点からデバイスを管理するという重要な役割を担っているため、スマートフォンやタブレットがファームウェアレベルで攻撃者の手に落ちた場合、そのデバイスは攻撃者からの永続的、かつ検知の著しく難しいアクセスを許してしまう可能性がある。そうなってしまうと、攻撃者は被害者のありとあらゆる行動を監視したり、機密情報を盗んだり、さらには該当デバイスを機能停止に追い込むことすら可能になる。

 ファームウェアへの攻撃は大々的に遂行されているわけではなく、多くの場合は標的を限定したかたちで遂行されている。とは言うもののGoogleは、Androidのファームウェアに潜む脆弱性を見つけ出そうとするサイバーセキュリティ関連の調査活動の増加と同社が表現する状況に対処しようとしている。

 同社のリサーチャーらは「Google Security Blog」に、「Androidプラットフォームのセキュリティが着実に強化されてきている中、一部のセキュリティリサーチャーらはファームウェアを含む、ソフトウェアスタックの他の部分に焦点を移してきている」と記している。

 このブログ投稿には「こうした副次的プロセッサーに搭載されているファームウェアの脆弱性については、ここ10年以上にわたって数々の論文や発表、ハッキングコンテスト『Pwn2Own』の勝者のプレゼンテーション、脆弱性データベースで語られてきている」とも記されている。

 こういった脆弱性の中には、特にWi-Fiや携帯電話のベースバンドに関する機能に潜んでいる脆弱性を悪用し、デバイス上でリモートコード実行(RCE)攻撃を仕掛けられるようなものもあった。

 Googleは今後、他の領域のコードをセキュアにする過程で学んだ教訓を生かし、起こり得るサイバー脅威からデバイスとユーザーを保護するためのファームウェアの堅牢化によって、Androidのセキュリティを強化していくとしている。

 このプロセスにおいて、コンパイラーベースのサニタイザー(コンピュータープログラムのバグを検出するプログラミングツール)の強化のほか、ファームウェアにおけるその他のエクスプロイトの緩和とともにメモリー安全性の強化も実施されることになる。メモリー安全性の強化という点では、バッファオーバーフロー攻撃などによる、ファームウェアのメモリーに対する直接攻撃からの保護に目が向けられる。

 Googleが指摘しているように、このアプローチを推進するにあたってはいくつかの課題が存在している。

 Googleは同投稿に「ハードウェアを直接操作するファームウェアを堅牢化し、さまざまな観点からAndroidの保護レベルを引き上げるというのは、Androidのセキュリティ面における優先課題の1つだ」と記しており、同社はAndroidデバイスのメーカーも後に続いてほしいと考えている。

 「今後のわれわれの目標は、これらの緩和テクノロジーをより多くのハードウェアに向けて拡大していくことだ。また、われわれのパートナーも歩調を合わせるよう強く促したい。われわれは、エコシステムのパートナーらがファームウェアを堅牢化するために必要とするであろう支援をいつでも提供できる」(Google)

COMMENTS


Recommended

TITLE
CATEGORY
DATE
Deno、Node.js、Cloudflare Workersなど、非Webブラウザ系JavaScriptランタイムのコード互換を目指す「Web-interoperable Runtimes Community Group」(WinterCG)が発足
Cloudflare
2022-05-20 04:36
編集者の嗅覚を守りたい–戦略子会社トップに聞く、KADOKAWA出版事業のDX
IT関連
2023-12-01 13:29
三十三銀行、組織全体の営業力強化に向けて「Sansan」を全行導入
IT関連
2024-08-28 22:08
フォーティネットの「FortiOS」に深刻度の高い脆弱性–修正版など公開
IT関連
2024-02-11 16:54
Fastlyが大規模障害の経緯を公開、原因はソフトウェアのバグ。障害を1分以内に検知し、49分でおおむね復旧させたと報告
Fastly
2021-06-10 13:04
無観客キャンプで衛生放送、ネット中継が存在感 プロ野球ファンに新たな楽しみ提供
IT関連
2021-02-10 11:11
Box、電子署名サービス「Box Sign」をリリース
IT関連
2021-07-29 04:29
気分に合わせてパーツの組み合わせ変更できるメガネを販売するPair Eyewearが約13.3億円調達
ネットサービス
2021-04-03 19:37
バイデン大統領の多様性への取り組みが、ビジネスリーダーの方向性を導く
パブリック / ダイバーシティ
2021-03-07 11:09
売り上げ1兆円を目指す富士ソフト、カギは新規事業と生産性向上に
IT関連
2024-04-09 12:28
富士フイルム、1億画素ミラーレスカメラの第2弾 「プロのみならず写真愛好家にも」 価格は約70万円に
くらテク
2021-01-29 08:27
HashiCorp、「HCP Packer」でアーティファクトのPackerバージョンを確認可能に
IT関連
2024-04-26 18:13
旭化成、次世代型WAN環境を構築–デジタル化とゼロトラストを目指す
IT関連
2021-04-28 23:34
アバナードら、三菱地所の社内コミュニケーションツールを開発–Teams活用
IT関連
2022-06-02 21:15