長年、Kindleは画面付きの紙の本のように、全く無害なデバイスだと思われてきました。しかし、現実は サイバー攻撃の入り口にもなり得る これは、特定のセキュリティ上の欠陥と悪意のある電子書籍が組み合わさった場合に発生する可能性があります。それほど一般的ではありませんが、可能性は存在します。個人情報や銀行情報に関する不測の事態を避けるために、このことを認識しておくことは重要です。
最近、チェックポイントリサーチなどの企業によるいくつかの調査では、 シンプルな電子書籍でKindleを制御できるコンテンツを削除したり、ボットに変えたり、Amazonの認証情報や支払い情報を盗んだりする可能性もあります。何が起こったのか、これらの脆弱性がどのように機能するのか、Amazonはどのような対策を講じたのか、そして何よりも、Kindleを責任を持って、そして不必要な不安を抱かずに使うために何ができるのか、詳しく見ていきましょう。
電子書籍によって Kindle がマルウェアに感染する可能性はありますか?
多くの人が尋ねる質問は非常に直接的です。「インターネットから無料の本をダウンロードした場合、 誰かが私の Kindle にウイルスを入れる可能性はありますか?長い答えは、一般的ではないものの、改ざんされた電子書籍ファイルがリーダーのソフトウェアの欠陥を悪用して悪意のあるコードを実行するケースが見つかっているということです。
典型的なユーザーは、無料の書籍ウェブサイトから電子書籍を携帯電話やコンピュータにダウンロードし、 USB経由で転送する またはKindleに送信機能を使用するダウンロード サイトから入手したというだけでは、必ずしも危険というわけではありませんが、ファームウェアの脆弱性を悪用することを目的としてファイルを設計した場合、その本は攻撃ベクトルになる可能性があります。
公表された分析によると、 電子書籍の形式自体に、特別に用意されたコードが隠されている場合があります。 Kindleがファイルを処理する際に、エクスプロイトチェーンをトリガーします。実際には、本を開くとデバイスが特定のデータを誤って解釈し、攻撃者が昇格した権限でコマンドを実行できるようになることを意味します。
こうした攻撃で最も気がかりなのは ユーザーは特別なことをする必要はありません。電子書籍をダウンロードし、デバイスに届いたら、他の書籍と同じように開くだけです。ポップアップや奇妙な要求は一切表示されません。脆弱性はバックグラウンドで悪用されます。
チェック・ポイント・リサーチによるKindleとマルウェアに関する調査結果
大きな衝撃が訪れたのは Check Point Research (CPR) は、Amazon Kindle のセキュリティに焦点を当てた調査を発表しました。同社の脅威インテリジェンスチームは、世界で最も人気のある電子書籍リーダーを徹底的に分析することを決定し、非常に深刻な攻撃を可能にするソフトウェアの脆弱性をいくつか発見しました。
このテストでは、研究者らは、 Kindleの内部ファイル処理におけるエラーを悪用するユーザーがその電子書籍を開くと、ボタンも確認も追加のインストールも必要なく、一連のマルウェアが自動的に開始されます。
報道によると、 攻撃が成功すれば、サイバー犯罪者はデバイスを完全に制御できる可能性があります。これには、デバイス トークンを盗む機能、Amazon アカウントの認証情報などの機密情報にアクセスする機能、さらには書籍の購入や Kindle Unlimited などのサブスクリプションの支払いに使用されるアカウントに関連付けられた銀行口座の詳細にアクセスする機能も含まれていました。
チェックポイント・ソフトウェアのスペインとポルトガルのテクニカルディレクターであるエウゼビオ・ニエヴァ氏は次のように説明した。 Kindleは「無害な」デバイスと認識されることが多いしかし、本質的にはインターネットに接続された小型コンピュータです。つまり、携帯電話やデスクトップコンピュータと多くの点で共通するリスクを抱えているということです。ただ、私たちは通常、それらを優先的な標的とは考えていません。
実施された検査では、CPRにより、 悪意のある電子書籍は、あらゆる仮想図書館からダウンロードできる。評判の怪しいウェブサイトからだけでなく、Kindle ストア自体のセルフ出版機能を利用したり、「電子メールで Kindle に送信」システムを通じて入手することもできます。
Kindleにおける悪意ある電子書籍攻撃の仕組み
Check Point によって文書化された攻撃の一般的なメカニズムは、ユーザーの観点から見ると比較的単純なものでした。 一見普通の本を受信またはダウンロードして開くと、そこからマルウェアが実行を開始します。複雑さは、ファイルが Kindle ファームウェアの内部脆弱性をどのように悪用したかにありました。
技術デモでは、悪意のある電子書籍は 読者のシステム内でスーパーユーザー権限でコードを実行するこれにより、攻撃者のリモート サーバーに接続したり、画面をロックしたり、内部ストレージの内容を操作する、デバイスに保存されている機密データを収集するなどの侵入的なアクションが可能になりました。
潜在的な影響は、数冊の本を損傷するだけにとどまりませんでした。CPRチームは、攻撃者が ユーザーのライブラリ全体を削除し、Kindleをゾンビネットワーク内のボットに変えます 同じローカル ネットワーク上の他のコンピューターを攻撃したり、リンクされた Amazon アカウントのキー、Cookie、認証情報にアクセスしたりします。
さらに、これらの脆弱性により、 言語、地域、人口統計グループを標的とした攻撃非常に魅力的な無料電子書籍を特定の言語で出版するだけで(たとえば、ルーマニアのベストセラー)、事実上すべての被害者がその国出身であるか、その言語を話すことが確実になり、サイバー犯罪やサイバースパイ活動にとって非常に魅力的になります。
研究者らが指摘したもう一つの関連要因は、 従来のウイルス対策プログラムでは通常、電子書籍を実行可能ファイルとしてスキャンしません。つまり、悪意のある目的で改変された書籍は、セキュリティ スキャンで検出されず、仮想ライブラリ (Kindle ストアを含む) で無料で利用でき、疑いを持たれることなくダウンロードが蓄積される可能性があります。
Kindleストアでの自費出版とSend to Kindleサービスが攻撃ベクトルとなる
この物語全体の鍵の一つは、Amazonが提供する非常に簡単な操作性です。 自費出版の本誰でも、従来の出版社や過度に厳格な編集管理を経由せずに自分の電子書籍をアップロードできます。これは、独立した著者にとっては素晴らしいことですが、攻撃者に悪用される可能性もあります。
チェックポイントは、サイバー犯罪者が 悪意のある本をアップロードする Kindleストアでは、一見全く無害そうな無料タイトルとして登場しました。コンテンツの内容や無料価格に惹かれたユーザーはダウンロードし、それ以降、デバイスでファイルを開くと脆弱性が発動しました。
もう一つの敏感なチャネルは、 電子メール経由で読者に文書を送信できます。多くの人が「Send to Kindle」として知っている機能です。各ユーザーにはkindle.comで終わる特別なアドレスが割り当てられており、承認されたアドレスから送信されたファイルはKindleリーダーで読める書籍に変換されます。
はい、その 承認済み送信者リスト 適切に設定されていないため、誰かが予期せず所有者のKindleにファイルを送信してしまう可能性があります。攻撃シナリオでは、誰かがこのシステムを悪用し、ユーザーが通常通り電子書籍を開くだろうと期待して、改ざんされた電子書籍をデバイスに直接忍び込ませようとする可能性があります。
専門家は、そのため 「Kindle に送信」設定を確認し、信頼できるアドレスのみに制限します。これにより、将来または未知の脆弱性を悪用するように設計された悪意のあるコンテンツを含む可能性のある予期しないドキュメントを受信するリスクが軽減されます。
銀行データに対する脆弱性とリスクの深刻度
Kindleで検出された脆弱性は単なる表面的な欠陥ではなかった。チェックポイントによると、 悪意のある人の手に渡れば「深刻な害を及ぼす」可能性がある読者自身の安全だけでなく、請求情報を含む関連する Amazon アカウントのプライバシーとセキュリティも危険にさらされていました。
デバイスを侵害することで、攻撃者は Kindleに保存されている情報を盗むAmazon サービスに識別される内部トークンから、デバイスをユーザーのアカウントにリンクできるようにするセッション Cookie やその他の技術データを含むアクセス認証情報まで。
極端なシナリオでは、サイバー犯罪者が 被害者のアカウントでコンテンツを購入し、支払い情報にアクセスした あるいは、そのデータを他の窃取データと組み合わせて、より巧妙な詐欺行為に利用することも可能だ。このエクスプロイトを利用した大規模なキャンペーンは実際に記録されていないものの、その可能性は十分にあり、かなりのものであった。
さらに、Kindleをボット化することで、攻撃者はサイバー犯罪の基盤に新たな一手を獲得した。一見無害な読者が ローカルネットワーク上の他のデバイスに対する攻撃に参加するコンピューター、携帯電話、さらにはルーターなどのデバイスが侵入する可能性があるため、単純な電子書籍によって開始される侵入の影響が増幅されます。
専門家らはまた、これらの脆弱性は 標的型攻撃に特に魅力的特定の国で非常に人気のある本は、疑念を抱かせずに非常に特殊なプロフィールを持つ何千人もの国民に届く理想的なトロイの木馬になる可能性があるからです。
問題のタイムラインと Amazon パッチ (ファームウェア 5.13.5)
発見の重大性を考慮し、チェック・ポイントは責任ある開示手順に従って行動しました。 2021年2月、彼はKindleで見つかったセキュリティ上の欠陥をAmazonに報告した。 メーカーが問題を調査して修正できるように、必要な技術的詳細を提供しました。
報告を分析した後、Amazonはファームウェアアップデートを開発し、 悪意のある電子書籍によって悪用された脆弱性を塞ぐパッチが含まれていた。この修正は、2021 年 4 月に Kindle ソフトウェアのバージョン 5.13.5 で適用されました。
アップデートは自動的に配布されました インターネットに接続されていたすべてのデバイスつまり、Kindle が定期的に WiFi ネットワークに接続され、自動更新が有効になっている場合、ユーザーが何もしなくても新しいファームウェアがダウンロードされ、インストールされます。
しかし、多くの読者はログインせずに長時間過ごすことが多い。 これらは、頻繁に同期されることなく、非常に分離されたモードで使用されます。このような場合、手動で強制的に更新するか、十分な時間ネットワークに接続しない限り、デバイスは古いファームウェア バージョンを実行したままになり、脆弱な状態が続く可能性があります。
いくつかの情報源によれば、 このバグを悪用した大規模かつ大規模なキャンペーンの証拠はありません。この脆弱性は現実のものであり、潜在的に非常に危険でした。幸いなことに、Check Point が発見した特定の問題は、デバイスにパッチ適用版がインストールされている限り解決されます。
実験的なブラウザやその他のあまり目立たないベクトルのリスク
Kindleのリスクはすべて書籍から生じるわけではない。いわゆる 実験的なブラウザ一部のユーザーは、単純なウェブサイトを閲覧するために時折これを使用します。機能は限られていますが、それでもインターネットへの入り口であり、悪意のあるコンテンツに感染する可能性のある媒体となります。
Kindleブラウザからウェブサイトにアクセスすると、 デバイスが異常な動作を始めたブラウザが突然閉じ、デバイスが一時的にフリーズします。潜在的な攻撃を恐れて、Cookieやキャッシュを削除したり、ページを閉じたり、リーダーを工場出荷時の設定に戻したりするなど、極端な対策を講じるユーザーもいます。
ほとんどの場合、この種の行動は主に ブラウザエラーまたはデバイスに最適化されていないページ 実際の攻撃というよりは、むしろ攻撃です。しかし、クレジットカード、デビットカード、あるいはAmazonプライムのようなサービスがアカウントにリンクされていることを考えると、ユーザーの懸念は当然のことです。
Kindleで閲覧中に何かおかしいことに気づいたら、合理的なガイドラインは次のとおりです。 ブラウザを閉じ、閲覧データを消去し、疑いが強い場合は、デバイスが最新であることを確認します。工場出荷時設定へのリセットは、デバイスを初期状態に戻して、ローカル設定とコンテンツ(クラウド ブックは除く)を消去する、より根本的なオプションです。
重要なのは、Kindleでのウェブ閲覧に関する脆弱性を技術的に検出することは可能だが、 これは最も研究された攻撃ベクトルでも、最も公に悪用された攻撃ベクトルでもない。焦点のほとんどは電子書籍そのものと、それがシステム内でどのように管理されるかに置かれています。
マルウェアからKindleを安全に使用する基本的な手順
技術的な詳細を超えて、読者が興味を持つのは リスクを最小限に抑えるために日常的に何ができるでしょうか?幸いなことに、常識的なガイドラインをいくつか守れば、デバイスの利便性を犠牲にすることなく、問題が発生する可能性を大幅に減らすことができます。
最初のステップは、Kindle を常に手元に置いておくことです。 最新のファームウェアバージョンに更新普段は接続していない場合でも、定期的にWi-Fiに接続し、設定でソフトウェアが最新であることを確認することをお勧めします。セキュリティパッチはこれらのアップデートを通じて配信されるため、これは非常に重要です。
それもお勧めです ダウンロードした電子書籍の入手先を監視するこれはすべての無料書籍ウェブサイトを非難するものではなく、疑わしいページ、不審なダウンロード、予期せず表示されるファイルを避けるためのものです。書籍の提供元を信頼すればするほど、怪しいものが隠されている可能性は低くなります。
Kindleに送る機能に関しては、アカウント設定にアクセスして 承認されたメールアドレスのリストを確認する理想的には、自分のメールアドレス、または本当に信頼できる人やサービスのメールアドレスのみを記載してください。読者に直接ファイルを送信できるメールアドレスは少ないほど良いでしょう。
最後に、Kindleは携帯電話やコンピューターと同様に、 何かをインストールしたり、未知のネットワークに接続したりするために、誰にでも簡単に貸し出されるべきではありません。「読むためだけの」デバイスのように思えるかもしれませんが、他の接続デバイスと同じデジタル衛生の基本原則を多く共有しています。
全体像を見ると、Kindleは無害なおもちゃではないことは明らかですが、時限爆弾でもありません。Amazonがリリースしたパッチ、明らかになった研究結果、そしてユーザー側の最低限の予防措置を考えると、 Kindleで読書をすることは、デジタル書籍を楽しむための最も便利で、一般的に安全な方法の1つです。電子インクの下には、保護されるべき小さなコンピューターがあるという事実を見失わない限りは。