セキュリティ警告:AirDropとQuick Shareに重大な脆弱性が発見され、数十億台のデバイスに影響が出ています
セキュリティ研究者らがAppleのAirDropとAndroidのQuick Shareに重大な脆弱性を発見し、50億台のデバイスが危険にさらされていることが明らかになりました。攻撃の仕組みと、スマートフォンを保護する方法について解説します。

ワイヤレス接続への警鐘
サイバーセキュリティコミュニティからの驚くべき発表で、研究者たちは、世界で最も人気のあるワイヤレスファイル共有プロトコルの 2 つ、Apple の AirDrop と Android の Quick Share に重大なセキュリティ上の欠陥を発見しました。CISPA ヘルムホルツ情報セキュリティセンターの専門家によって発見されたこれらの脆弱性により、最大 50 億台のアクティブなデバイスが標的型攻撃にさらされる可能性があります。
この研究によると、ハッカーは最大 30 メートル (約 98.4 フィート) の距離からこれらの穴を悪用することができ、便利な機能が妨害の潜在的な入り口に変わる可能性があります。2 つのシステムは異なるプロトコルを使用していますが、研究者たちは共通のアーキテクチャ上の欠陥を発見しました。それは、シームレスなユーザー エクスペリエンスのために厳格なセキュリティを犠牲にしていることです。
技術的な欠陥の理解
AirDrop と Quick Share はどちらも、特権の高いバックグラウンド サービスとして動作します。互換性のあるデバイスが近くに来ると、すぐに「起動」して接続を確立するように設計されています。この設計上の選択により、攻撃者に攻撃の機会が生まれます。
Apple AirDrop の脆弱性
iOS および macOS では、この脆弱性は、AirDrop、AirPlay、Handoff、Continuity Camera、ユニバーサル クリップボードなどの一連の継続性機能を管理するバックグラウンド デーモンを標的としています。研究者は、このサービスに送信される 1 つの「不正なリクエスト」によってシステム全体がクラッシュする可能性があることを発見しました。攻撃者がこれらの悪意のあるリクエストを繰り返し送信すると、これらの重要な機能を効果的にロックダウンし、ユーザーのデバイス機能を人質に取ることができます。
Android Quick Share の脆弱性
Quick Share の脆弱性は、Samsung Galaxy S23 Ultra と Quick Share Windows クライアント間のテスト中に発見されました。研究者は、攻撃者が重要な認証手順をスキップできる「ロジック バイパス」を発見しました。これにより、悪意のある攻撃者は接続を強制的に確立し、接続を維持し、サーバーに攻撃者から提供されたアドレスを送信して、意図されたセキュリティハンドシェイクを回避できます。
リスク評価:何が危険にさらされているのか?
これら2つの異なるプラットフォームに共通するのは、サービスの境界でセキュリティ上重要な不変条件を強制できないことです。基本的に、送信者の身元が完全に検証される前に、バックグラウンドプロセスが外部からのリクエストにさらされます。
幸いなことに、現在の調査では、これらのエクスプロイトは個人データを盗んだり、スパイウェアをインストールしたりすることを目的としたものではないことが示唆されています。代わりに、これらは主に「サービス拒否」(DoS)攻撃です。つまり、主なリスクは機能の喪失です。ハッカーは、範囲内にいる限り、ファイル共有や継続性機能の使用を妨害することができます。データ漏洩ではありませんが、このような攻撃は業務の流れを著しく阻害したり、公共の場で大きな混乱を引き起こしたりする可能性があります。
デバイスを保護する方法
AppleとGoogleは包括的な修正に取り組んでおり、一部はすでに特定のクライアント向けに展開されていますが、ユーザーはソフトウェアのアップデートだけに頼るべきではありません。ワイヤレス共有に「ゼロトラスト」アプローチを導入することが最善の防御策です。
iPhoneおよびMacユーザーの場合:
- 設定一般に移動します。 AirDrop。
- 使用していないときは、設定を「全員」から「連絡先のみ」に変更するか、受信を完全に「オフ」にしてください。
Androidユーザーの場合:
- クイック共有設定を開きます。
- 「共有できるユーザー」オプションを探します。
- これを「連絡先」または「デバイス」に設定して、見知らぬ人が強制的に接続を開始できないようにします。
最後に、最も重要なアドバイスは、オペレーティングシステムを常に最新の状態に保つことです。AppleとGoogleはセキュリティパッチを頻繁にリリースしており、iOSまたはAndroidの最新バージョンを使用することが、これらのセキュリティ上の脆弱性を解消する最も効果的な方法です。