【CVE-2024-34662】Samsung MobileのActivityManagerに脆弱性、アクセス制御の不備で特権的操作が可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

ActivityManagerに不適切なアクセス制御の脆弱性
Android 12、13、14の一部機種が影響を受ける
2024年10月のセキュリティアップデートで修正

Samsung MobileのActivityManagerにおける脆弱性

Samsung Mobileは、ActivityManagerに存在する不適切なアクセス制御の脆弱性【CVE-2024-34662】を2024年10月8日に公開した。Android 12、13のSMR Oct-2024 Release 1およびAndroid 14のSMR Sep-2024 Release 1以前のバージョンにおいて、ローカル攻撃者が特権的な動作を実行できる可能性が報告されている。^[1]

CVSSスコアは6.2（Medium）を記録しており、攻撃の複雑さは低く特権は不要だが、攻撃者の物理的なアクセスが必要となる特徴がある。Samsung Mobileは脆弱性の影響を受ける全てのデバイスに対して、セキュリティアップデートの適用を推奨している。

この脆弱性はSMR Oct-2024 Release 1およびSMR Sep-2024 Release 1で修正されており、ユーザーはできるだけ早急にアップデートを実施することが推奨される。SSVCの評価によると、技術的な影響は部分的であり、自動化された攻撃の可能性は低いとされている。

Samsung Mobile脆弱性の詳細

項目	詳細
CVE番号	CVE-2024-34662
影響を受けるOS	Android 12、13、14の一部機種
CVSSスコア	6.2（Medium）
脆弱性の種類	不適切なアクセス制御
修正バージョン	SMR Oct-2024 Release 1（Android 12、13）、SMR Sep-2024 Release 1（Android 14）

Samsung Mobileのセキュリティアップデート詳細はこちら

アクセス制御について

アクセス制御とは、システムやリソースに対するユーザーのアクセス権限を管理する仕組みのことを指す。主な特徴として、以下のような点が挙げられる。

認証と認可による多層的なセキュリティ確保
ユーザーごとの権限レベル設定が可能
不正アクセスからシステムを保護する機能

Samsung MobileのActivityManagerにおける不適切なアクセス制御の脆弱性は、ローカル攻撃者が本来持つべきでない特権的な操作を実行できてしまう深刻な問題となっている。CVSSスコア6.2という評価は、物理的なアクセスが必要という制限があるものの、攻撃の複雑さが低く特権も不要であることから、早急な対応が必要とされている。

ActivityManagerの脆弱性に関する考察

今回のActivityManagerの脆弱性は物理的なアクセスが必要という制限があるものの、攻撃の複雑さが低く特権も不要であることから、端末を紛失した際のリスクが非常に高くなっている。セキュリティアップデートが提供されたことで、ユーザーは迅速な対応が可能となっているが、アップデートの適用率が課題となるだろう。

将来的にはActivityManagerのアクセス制御機能自体を強化し、物理的なアクセスがあっても特権的な操作が実行できないような仕組みの実装が望まれる。セキュリティ機能の強化と同時に、ユーザビリティを損なわない設計が重要となってくるだろう。

Samsung Mobileには今後、脆弱性の早期発見・修正に加えて、ユーザーへのアップデート通知の改善やセキュリティ意識の啓発にも注力してほしい。特に企業導入されているデバイスについては、IT管理者との連携を強化し、包括的なセキュリティ対策の提供が期待される。