Androidの「ゼロデイ」ハッキングがiOS攻撃よりもコストがかかる理由

長年にわたり、 iPhoneは世界で最も厳重にロックされた主流のコンピューティングデバイスと考えられてきました。その人気と多層的なセキュリティ保護により、iPhoneを解読する技術はAndroidスマートフォンへの攻撃に比べてはるかに希少で、アンダーグラウンド市場ではより高価でした。しかし今、その経済状況は変化しました。Androidスマートフォンを遠隔操作できる秘密のハッキングツールが、初めてiPhoneよりも高値で取引されているのです。

火曜日、秘密のソフトウェア脆弱性を悪用するいわゆるゼロデイエクスプロイトを売買する企業Zerodiumは、価格表を更新しました。同社は、標的ユーザーの操作を一切必要とせず、Androidスマートフォンを完全に、かつ静かに乗っ取るいわゆるゼロクリックハッキング技術に対し、最高250万ドルを提示しています。これは、Zerodiumが単一のゼロデイエクスプロイトに対して提示した最高額であるだけでなく、iPhoneを標的とするゼロクリック攻撃に対して同社が提示している金額よりも50万ドル高い金額です。さらにZerodiumは、 Webブラウザ経由でiPhoneを標的とするいわゆる「ワンクリック」エクスプロイトの価格を150万ドルから100万ドルに値下げしました。iMessage攻撃の一部の価格も、100万ドルから50万ドルへと半減しました。

「ここ数ヶ月、世界中の研究者によって開発・販売されているiOSエクスプロイト、主にSafariとiMessageのチェーンの数が増加していることを確認しています。ゼロデイ市場はiOSエクスプロイトで溢れかえっており、最近では一部のエクスプロイトを拒否するようになりました」と、Zerodiumの創設者チャウキ・ベクラー氏はWIREDへのメッセージで述べています。一方、ベクラー氏は「GoogleとSamsungのセキュリティチームのおかげで、AndroidのセキュリティはOSの新しいリリースごとに向上しています。そのため、Android向けの完全なエクスプロイトチェーンを開発するのは非常に困難で時間がかかるようになり、ユーザーの操作を一切必要としないゼロクリックエクスプロイトの開発はさらに困難になっています」と述べています。

ベクラー氏は、ZerodiumはGoogle、Samsung、Huawei、Sonyのデバイスに高額の懸賞金をかけていると付け加えた。「他のデバイス向けのエクスプロイトも引き続き関心を集めており、受け付けていますが、懸賞金については個別に協議する予定です」と彼は記している。

Zerodiumの新たな数字は、過去数年とは劇的な対照を呈している。同社が2015年に当初発表した、より控えめなゼロデイ攻撃の価格表では、iOS攻撃に対して最大50万ドル、Androidハッキング技術に対しては最大10万ドルという金額を提示していた。

Zerodium の価格表は、ゼロデイ脆弱性の価格を公表している唯一のリストとして知られていますが、法執行機関や諜報機関といったゼロデイ脆弱性の購入者が、最新のハッキングツールに実際に支払う金額を必ずしも反映しているわけではありません。セキュリティ業界の一部には、Zerodium の価格表は主に同社のマーケティングツールであり、価格を記録するためではなく、価格に影響を与えるためのものだと考える人もいます。

しかし、独立系セキュリティ脆弱性研究者で、現在は解散した脆弱性仲介会社Q-Reconの創業者であるマオール・シュワルツ氏は、こうした変化は自身の観察とも一致すると述べている。「現状では、標的の大部分はAndroidであり、多くの脆弱性が修正されているため、脆弱性はますます少なくなっています」と、先月のBlack Hatセキュリティカンファレンスで政府機関顧客へのゼロデイ脆弱性販売について講演したシュワルツ氏は語る。「1年前から、クライアントから『Androidで働いていて脆弱性を持っている人を知っていますか？』と聞かれるようになりました。市場が変化しているという予感がし始めました」

シュワルツ氏によると、ハイエンドのAndroidスマートフォンを標的としたWebベースの攻撃は、現在では非独占状態で200万ドル以上で売れる可能性があるとのことだ。つまり、研究者はそれを複数の買い手にその価格で販売できるということだ。iPhoneを標的としたWebベースの攻撃は、非独占状態で約150万ドルの価値があるという。この比率はより一般的にも当てはまり、Android向けの攻撃は、iPhone向けの攻撃よりも約30%高い場合が多いという。

シュワルツ氏は、ChromeのセキュリティがSafariよりも相対的に高いため、Androidのスマートフォンブラウザから標的のデバイスに侵入する方法を見つけるのはiOSよりも長らく困難だったと主張する。しかし、Androidのエクスプロイトをより高価にした真の要因は、Androidにおけるいわゆる「ローカル権限昇格」エクスプロイトを見つけることの難しさだとシュワルツ氏は指摘する。このエクスプロイトは、攻撃者が既に足掛かりを築いた後、スマートフォンをより深く制御することを可能にする。Androidスマートフォンのセキュリティ対策が強化されたおかげで、LPEエクスプロイトはAndroidでもiOSとほぼ同じくらい見つけにくくなったとシュワルツ氏は言う。エクスプロイトの連鎖を開始するためのハッキング可能なブラウザの脆弱性を見つけることの難しさと相まって、Androidは全体的により困難で、より高価になっている。

シュワルツ氏は、Androidのセキュリティ強化はオープンソース戦略がようやく実を結んだことによるところが大きいと考えている。AppleはOSを非常に厳重にロックダウンしているため、善意のセキュリティ研究者でさえバグを発見するのが困難だった（同社は最近、バグ報奨金プログラムの拡大と公開化によってこの問題の解決に取り組んでいる）。一方、Androidのオープンソースアプローチは、コードへの注目度を高めた。当初はこうした寛容さがバグの増加につながったものの、時間の経過とともに脆弱性は修正され、OSは徐々に強化されてきた。「非常に多くの脆弱性が修正されたため、攻撃対象領域は劇的に減少しました」とシュワルツ氏は述べている。

Androidは長年、サードパーティのメーカーやキャリアへの依存に起因するセキュリティパッチの問題に悩まされてきました。Zerodiumは、完全にパッチが適用されたデバイスのゼロデイ脆弱性に焦点を当てているため、こうした問題は同社の価格表には反映されていません。

しかし、GoogleはAndroidスマートフォンの内部を徐々にハッカーにとって扱いにくいものにしてきたことは評価に値する。本日リリースされたAndroid 10もその例だ。例えば、新しいファイルベースの暗号化を追加したり、アプリのアクセスをOSの他の部分から隔離する「サンドボックス」を刷新したりしている。実際、Googleは長年にわたり、新たなセキュリティバグが発見されてもデバイスのハッキングを困難にする「緩和策」を追加してきた。例えば2018年には、悪意のあるプログラムがメモリ内を飛び回ってコードのメモリ位置をランダム化する古いセキュリティ対策を回避するのを防ぐ「制御フロー整合性」や、2015年にStagefrightと呼ばれる攻撃で悪用されたようなバグを防ぐ「整数オーバーフローサニタイズ」を導入した。

しかしシュワルツ氏は、こうした緩和策に加え、iOSのゼロデイ脆弱性に対する当初の高価格がセキュリティ研究者の過大な関心を集め、iOSへの攻撃が比較的急増したと指摘する。こうした攻撃の膨大な量は、先週Googleが、ハッキングキャンペーンが5つの異なるiOSエクスプロイトチェーンを駆使し、それらの攻撃をウェブサイトに埋め込み、数千人の被害者のスマートフォンに感染させたことを明らかにしたことで、改めて浮き彫りになった。先月Googleが明らかにした別の発見では、同社のセキュリティ研究者ナタリー・シルバノビッチ氏が、iOSを標的としたゼロクリック攻撃を少なくとも6件発見している。

Androidのセキュリティ対策強化に加え、iOSとAndroidの注目度のアンバランスも、Androidのゼロデイ脆弱性の価格高騰につながっているとシュワルツ氏は指摘する。こうした高額な価格は、ハイリスクなAndroidユーザーにとって必ずしも安心できるものではない。高額な報酬の魅力は、実はこのOSの脆弱性調査を今後さらに強化すべき時期が来ていることを意味しているのかもしれない。「Androidの脆弱性に対する需要は今や非常に高く、このギャップによって価格が急騰しているのです」とシュワルツ氏は語る。「これまで話を聞いた研究者全員に、『お金を稼ぎたいならAndroidに集中しろ』と言ってきました」

WIREDのその他の素晴らしい記事