MEDIUMCVE-2024-44097

研究者によると: "TLS接続は改ざんや盗聴から保護されています。しかし、アプリケーションはTLSを初期化する際にサーバー証明書を適切に検証しません。"

プラットフォーム

android

コンポーネント

android-tls-connection

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

CVE-2024-44097は、Android TLS Connectionにおいて、サーバー証明書の検証が不適切に行われることで発生する脆弱性です。この脆弱性を悪用されると、攻撃者はTLS接続を傍受し、機密データを盗み取ったり、悪意のある応答を送信したりすることが可能になります。影響を受けるバージョンは現時点では不明ですが、Androidデバイスのセキュリティに重大な影響を与える可能性があります。適切なサーバー証明書の検証を実装することで、この脆弱性を軽減できます。

影響と攻撃シナリオ

この脆弱性は、攻撃者がTLS接続を傍受し、暗号化されたデータを読み取ることを可能にします。攻撃者は、盗んだ情報を悪用して、ユーザーの個人情報、認証情報、または機密データを窃取する可能性があります。さらに、攻撃者は悪意のある応答を送信することで、ユーザーを詐欺サイトに誘導したり、マルウェアをインストールさせたりすることも可能です。この脆弱性は、機密性の高い情報を扱うアプリケーションやサービスに特に深刻な影響を与える可能性があります。攻撃者は、中間者攻撃（Man-in-the-Middle attack）を実行し、通信を傍受して改ざんする可能性があります。

悪用の状況

CVE-2024-44097は、2024年10月2日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていません。CISAのKEVリストへの追加状況は不明です。攻撃者は、この脆弱性を悪用して、機密情報を窃取したり、ユーザーを詐欺サイトに誘導したりする可能性があります。Androidデバイスのユーザーは、セキュリティアップデートを適用し、不審なリンクや添付ファイルを開かないように注意する必要があります。

リスク対象者翻訳中…

Applications relying on TLS connections for secure communication are at risk. This includes banking apps, e-commerce platforms, and any application handling sensitive user data. Devices running older, unpatched Android versions are particularly vulnerable, as they may lack the latest security enhancements.

検出手順翻訳中…

• android / supply-chain:

Get-AppxPackage -AllUsers | Where-Object {$_.InstallLocation -like '*\Android*'} | Select-Object Name, PackageFullName

• android / server: Review application manifest files for network permission declarations. Look for overly permissive network access. • generic web: Monitor network traffic for suspicious TLS certificate validation errors or unexpected server responses.

攻撃タイムライン

2024-10-02Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

EPSS

0.08% (23% パーセンタイル)

影響を受けるソフトウェア

コンポーネントandroid-tls-connection

ベンダーGoogle

影響範囲修正版

unknown – unknown—

弱点分類 (CWE)

CWE-269

タイムライン

予約済み2024-08-19
公開日2024-10-02
EPSS 更新日2026-04-02

未パッチ — 公開から599日経過

緩和策と回避策

この脆弱性への直接的な修正は、Android TLS Connectionのアップデートによって提供される可能性があります。現時点では、サーバー証明書の検証を強化することが推奨されます。アプリケーション開発者は、信頼できる認証局（CA）から発行された証明書のみを受け入れるように、サーバー証明書の検証ロジックを実装する必要があります。また、証明書の有効期限、ドメイン名、およびその他の属性を検証することも重要です。さらに、TLS 1.3へのアップグレードを検討し、より強力な暗号スイートを使用することで、セキュリティを向上させることができます。Androidのセキュリティアップデートを常に最新の状態に保つことも重要です。

修正方法翻訳中…

Actualice su dispositivo Android a la última versión disponible proporcionada por Google. Esto asegura que las correcciones de seguridad, incluyendo la validación correcta del certificado TLS, estén implementadas. Consulte la documentación del producto de Google para obtener instrucciones específicas sobre cómo actualizar su dispositivo.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-44097 — TLS接続の脆弱性 in Android TLS Connectionとは何ですか？

CVE-2024-44097は、Android TLS Connectionにおけるサーバー証明書の検証不備により、攻撃者がTLS接続を傍受し、データを読み取ることが可能な脆弱性です。

CVE-2024-44097 in Android TLS Connectionに影響を受けますか？

影響を受けるバージョンは不明ですが、Androidデバイスを使用しているすべてのユーザーが潜在的なリスクにさらされる可能性があります。

CVE-2024-44097 in Android TLS Connectionを修正するにはどうすればよいですか？

Androidのセキュリティアップデートを適用し、サーバー証明書の検証を強化することが推奨されます。

CVE-2024-44097は積極的に悪用されていますか？

現時点では、この脆弱性を悪用する公開されているPoCは確認されていません。

CVE-2024-44097に関するAndroidの公式アドバイザリはどこで入手できますか？

Androidのセキュリティアドバイザリは、Googleのセキュリティブログで公開されています。