【CVE-2024-20097】Android 12.0に境界外読み取りの脆弱性、情報漏洩のリスクに注意

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約
Android 12.0の境界外読み取り脆弱性が発見
Android 12.0の脆弱性詳細
境界外読み取りについて
Android 12.0の脆弱性対応に関する考察
参考サイト

記事の要約

Android 12.0に境界外読み取りの脆弱性
CVE-2024-20097として識別される問題
情報取得のリスクあり、対策が必要

Android 12.0の境界外読み取り脆弱性が発見

Googleは、Android 12.0に境界外読み取りに関する脆弱性が存在することを公表した。この脆弱性はCVE-2024-20097として識別され、CVSS v3による深刻度基本値は4.4（警告）とされている。攻撃元区分はローカルで、攻撃条件の複雑さは低いとされているが、攻撃に必要な特権レベルは高く設定されている。^[1]

この脆弱性の影響範囲はAndroid 12.0に限定されており、機密性への影響が高いとされている一方で、完全性と可用性への影響はないとされている。攻撃者がこの脆弱性を悪用した場合、情報を不正に取得される可能性があるため、ユーザーは注意が必要だ。Googleは対策としてベンダアドバイザリまたはパッチ情報を公開しており、ユーザーに適切な対応を促している。

この脆弱性は境界外読み取り（CWE-125）として分類されており、NVDによる評価でも同様の分類がなされている。Googleは脆弱性の詳細情報をNational Vulnerability Database（NVD）に報告しており、CVE-2024-20097として登録されている。また、関連文書としてMediaTekの公式サイトが参照されており、2024年10月時点での情報が提供されている。

Android 12.0の脆弱性詳細

項目	詳細
CVE識別子	CVE-2024-20097
影響を受けるバージョン	Android 12.0
CVSS基本値	4.4（警告）
攻撃元区分	ローカル
攻撃条件の複雑さ	低
必要な特権レベル	高
利用者の関与	不要
影響の想定範囲	変更なし
機密性への影響	高
完全性への影響	なし
可用性への影響	なし

境界外読み取りについて

境界外読み取り（CWE-125）とは、プログラムがバッファやその他のデータ構造の意図された、または割り当てられた境界を超えてデータを読み取る脆弱性のことを指す。主な特徴として以下のような点が挙げられる。

メモリ破壊やデータの漏洩を引き起こす可能性がある
バッファオーバーフローの一種として分類される
プログラムのクラッシュや、機密情報の露出につながる恐れがある

Android 12.0における境界外読み取りの脆弱性は、攻撃者が特権レベルの高い状態でローカルから攻撃を行うことで、本来アクセスできないはずの情報を読み取る可能性がある。この脆弱性はCVSS基本値4.4と中程度の深刻度ではあるが、機密性への影響が高いとされているため、適切なパッチの適用が重要となる。ユーザーはGoogleが提供する修正プログラムを適用し、デバイスのセキュリティを確保する必要がある。

Android 12.0の脆弱性対応に関する考察

Android 12.0における境界外読み取りの脆弱性が発見されたことは、Googleのセキュリティ対策の重要性を再認識させる出来事となった。特に機密性への影響が高いとされている点は、個人情報保護の観点から見過ごせない問題だ。一方で、攻撃に必要な特権レベルが高く設定されていることは、一般ユーザーが被害に遭う可能性を低減させる要因となっている。

今後、この脆弱性を悪用した攻撃手法が洗練されていく可能性があり、より低い特権レベルでも攻撃が可能になるリスクが考えられる。この問題に対する解決策として、Googleはセキュリティアップデートの頻度を上げるとともに、ユーザーへの啓発活動を強化する必要があるだろう。また、開発者向けにコーディングガイドラインを更新し、境界外読み取りのような脆弱性を未然に防ぐための best practices を提供することも重要だ。

今後、Androidのセキュリティ機能として、メモリ保護機能の強化やサンドボックス化の徹底など、より堅牢なセキュリティアーキテクチャの導入が期待される。また、AIを活用した脆弱性検出システムの開発など、最新技術を取り入れたセキュリティ対策の進化も望まれる。Googleには、オープンソースコミュニティとの協力を通じて、Androidエコシステム全体のセキュリティレベルを向上させる取り組みを期待したい。