Kaspersky(カスペルスキー)の最新調査により、Androidデバイスのファームウェアに深く埋め込まれた新たなバックドア「Keenadu」が発見されました。このバックドアはデバイスの製造段階、具体的にはファームウェアのビルドフェーズで仕込まれており、署名済みのOTA(Over-The-Air)アップデートを通じて配信されるため、通常のセキュリティ対策では検出が極めて困難です。Alldocubeをはじめとする複数のブランドのデバイスが影響を受けていることが確認されています。
この記事のポイント
- ファームウェアレベルに埋め込まれたバックドア「Keenadu」が発見された
- 製造段階(ファームウェアビルドフェーズ)で侵害が発生しており、サプライチェーン攻撃の一種
- 署名済みOTAアップデート経由で配信されるため、正規のアップデートと見分けがつかない
- データの密かな収集とリモートからのデバイス制御が可能
ファームウェアバックドア「Keenadu」の実態
Kasperskyが発見した「Keenadu」は、従来のマルウェアとは根本的に異なるアプローチを取っています。通常のAndroidマルウェアはアプリケーション層に存在し、ユーザーが不正なアプリをインストールすることで感染しますが、Keenaduはデバイスのファームウェアそのものに組み込まれています。これはつまり、ユーザーがデバイスを箱から取り出して初めて電源を入れた時点で、すでにバックドアが動作しているということを意味します。
ファームウェアレベルでの感染であるため、工場出荷時の状態にリセットしても除去することができません。通常のアンチウイルスソフトウェアやセキュリティスキャンでは検出が困難であり、デバイスの根幹部分に潜んでいるため、OSの上層で動作するセキュリティツールの監視範囲外となっています。このような特性から、Keenaduは非常に持続性の高い脅威として位置づけられています。
サプライチェーン攻撃としての深刻さ
今回の発見で特に注目すべきは、侵害がファームウェアのビルドフェーズで発生しているという点です。これはサプライチェーン攻撃の典型的なパターンであり、製造工程のどこかの段階で悪意あるコードが正規のファームウェアに混入されたことを示しています。Alldocubeなど複数のブランドが影響を受けていることから、共通のODM(Original Design Manufacturer)やファームウェアサプライヤーが侵害された可能性が指摘されています。
署名済みOTAアップデートとして配信されるという点も重大です。OTAアップデートはデバイスメーカーが正規に提供するソフトウェア更新の仕組みであり、デジタル署名によってその正当性が保証されています。しかし、ビルドプロセス自体が侵害されている場合、バックドアを含んだファームウェアにも正規の署名が付与されるため、デバイス側の検証メカニズムをすり抜けてしまいます。ユーザーにとっては、正規のアップデートと悪意あるアップデートを区別する手段がほぼ存在しないことになります。
Keenaduの機能と影響範囲
Keenaduバックドアが持つ主な機能は、データの密かな収集(サイレントハーベスティング)とリモートからのデバイス制御です。具体的には、デバイスに保存された個人情報、通信履歴、位置情報、インストール済みアプリの情報などを、ユーザーに気づかれることなく外部サーバーに送信する能力を持っています。
また、リモート制御機能により、攻撃者はデバイスに対して遠隔からコマンドを送信し、追加のマルウェアのインストール、設定の変更、さらには他のデバイスへの攻撃の踏み台として利用することも可能です。ファームウェアレベルで動作するため、システムの最高権限で実行され、OSレベルのアクセス制御をバイパスできる点が特に危険です。
影響を受けるデバイスの正確な台数は現時点では不明ですが、Alldocubeは比較的安価なAndroidタブレットを製造するメーカーとして知られており、Amazon等の通販サイトを通じて世界中で販売されています。日本国内でも購入可能なブランドであるため、国内ユーザーにも影響が及ぶ可能性があります。
知っておくと便利なTips
- 安価なノーブランドまたは無名ブランドのAndroidタブレットを購入する際は、製造元の信頼性を事前に確認することが重要です。レビューやセキュリティ研究者の報告を参照しましょう
- ファームウェアレベルのマルウェアは通常のアンチウイルスでは検出できないため、ネットワーク監視ツール(例:NetGuardやGlassWire)を使用して不審な通信を監視することが有効な対策となります
- 重要なデータや業務には、信頼できるメーカーのデバイスを使用し、個人情報の入力を最小限に抑えることがリスク軽減につながります
- Kasperskyなどのセキュリティベンダーが公開するIoC(Indicator of Compromise)情報を定期的にチェックし、自身のデバイスが影響を受けていないか確認することを推奨します
まとめ
Keenaduは、Androidデバイスのサプライチェーンを標的とした高度なファームウェアバックドアです。製造段階でファームウェアに組み込まれ、署名済みOTAアップデートとして配信されるため、従来のセキュリティ対策では検出・防御が極めて困難です。この事例は、デバイスのセキュリティがソフトウェアだけでなく、ハードウェアとサプライチェーン全体の信頼性に依存していることを改めて示しています。消費者としては、信頼できるメーカーのデバイスを選択すること、そしてネットワーク通信の異常を監視することが、こうした脅威に対する現実的な防御策となります。Kasperskyは引き続き調査を進めており、影響を受けるデバイスやブランドの全容が今後明らかになる可能性があります。
📎 元記事: https://thehackernews.com/2026/02/keenadu-firmware-backdoor-infects.html
コメント