Androidの過去のバージョンに存在する複数の脆弱性を突いて、Webページを見ただけでランサムウェアに感染させる攻撃が出回っているという。セキュリティ企業のBlue Coat Systemsが4月25日のブログで伝えた。

それによると、この攻撃には広告を使ってWebページから不正なJavaScriptを読み込ませる新たな手口が使われていた。問題のJavaScriptには、イタリア企業のHacking Teamから流出した「libxslt」の脆弱性を突くコードが仕込まれ、これを使ってランサムウェアアプリをインストールさせる仕組みだった。Androidアプリをインストールする過程で通常は表示されるパーミッション確認画面も表示されなかったという。

ランサムウェアは捜査当局を名乗って罰金を要求する「Cyber.Police」と呼ばれる種類で、感染すると端末にロックをかけて使えない状態にしてしまい、Apple iTunesのギフトカードで「罰金」を支払うよう命じる画面が表示される。

攻撃に使われている「Cyber.Police」型ランサムウェア（Blue Coat Systemsより）

Blue Coatの実験にはAndroid 4.2.2を搭載したSamsung製タブレットの旧モデルを使用した。攻撃側の制御するサーバには、2月22日以降、Android 4.0.3〜4.4.4を搭載した端末少なくとも224モデルがアクセスしていたことが判明。この中には、Hacking Teamから流出したlibxlstの脆弱性の影響は受けないはずの機種も含まれることから、別の脆弱性が使われている可能性もあるとしている。

Blue Coatの研究者は、「Android 4.xを搭載した端末の多くはWindows XPを搭載したPCと同じ状態にあり、OSは機能したとしてもアップデートは受け取れず、使い続ければマルウェア感染の深刻な危険にさらされる」と指摘する。

被害を防ぐためには写真やデータなどのファイルのバックアップを取り、Android 4.xにプリインストールされていた標準ブラウザではない最新のWebブラウザを使うことなどを勧告している。

Copyright © ITmedia, Inc. All Rights Reserved.