Apple AirDropとGoogle・Samsung Quick Shareに、近距離無線からペアリングなし・操作なし(ゼロクリック)で悪用できる可能性がある脆弱性が計6件発見された。研究者がプレプリント論文(査読前)として2026年6月25日に公表した。両プロトコルは世界で50億台以上のデバイスで利用されているとされる。
この記事でわかること
- 発見された6件の脆弱性の概要と影響範囲
- 「ゼロクリック・近距離攻撃」がなぜ企業端末の脅威になりうるか
- 情シスが今すぐ確認・検討すべき対応
どんな研究か
CISPA Helmholtz Center for Information Securityの研究者Arash Ale EbrahimとNils Ole Tippenhauer氏による論文「Protocol Prying」(arXiv:2606.26967)。Apple AirDropとGoogle/Samsung Quick Shareを対象に「プロトコル対応ファジング」手法でAIRFUZZツールを開発し、アプリケーション層のセキュリティを体系的に検証した。
両プロトコルはコードが非公開・非ドキュメント化であるうえ、Bluetooth/Wi-Fi経由で一切のペアリングなしに端末へ到達できる点が特徴だ。これが近距離攻撃の入口になりえる。
発見された6件の脆弱性
Apple AirDrop(macOS / iOS)に3件
| ID | 概要 | 影響 |
|---|---|---|
| V1 | HTTPルーター内のSwift fatalError | AirDropデーモンのクラッシュ(DoS) |
| V2 | Foundation XMLパーサーの再帰制限なし | メモリ消費・クラッシュ(DoS) |
| V3 | HTTP/1.1パーサーのNULL参照エラー | サービス妨害(DoS) |
Samsung Quick Share(Android)に2件
| ID | 概要 | 影響 |
|---|---|---|
| V4 | 認証前のOfflineFrameディスパッチ | 認証をスキップして処理を実行 |
| V5 | 複数フレーム型でのD2D暗号化バイパス | 端末間通信の暗号が回避される |
Google Quick Share for Windows に1件
| ID | 概要 | 影響 |
|---|---|---|
| V6 | ヒープ使用後解放(UAF) | コード実行の可能性。Googleは報奨金を支払い対応 |
Samsung V4・V5は認証バイパスと暗号回避を組み合わせることで、受信端末が意図しないデータ処理をする経路が生じる。Google V6のヒープUAFはメモリ破壊を通じたリモートコード実行につながりうる、深刻度の高い脆弱性だ。
なぜ情シスが注目すべきか
重要なのは「ゼロクリック・近距離攻撃」という特性だ。Bluetooth/Wi-Fi圏内にいる攻撃者が悪用できる可能性があり、ユーザーが何か操作しなくても端末のプロセスを攻撃できる。オフィス・カフェ・展示会など不特定多数が集まる場所で社給端末を持ち歩くシーンは、リスク面でとりわけ注意が必要だ。
BYODを許容している企業も同様だ。iPhoneやMacのAirDrop、AndroidスマホのQuick Shareは業務端末でも日常的に有効になっていることが多く、ユーザーが設定を意識していないケースが大半だ。
現場目線の課題
率直に言って、「AirDropやQuick Shareを業務端末で使っているか、どんな設定になっているか」を正確に把握している情シスは多くない。MDMでポリシーを適用していても、Bluetoothや近距離共有の詳細な制御まで行き届いていないことも多い。脆弱性の実際の攻撃可能性はまだ研究段階の知見だが、社内展開端末の設定棚卸しをするよい契機になりえる。
情シスが今すぐ確認・検討すること
現時点でベンダー各社はいずれも報告を受領済みとされているが、CVE番号や公式パッチの公開状況は各ベンダーのセキュリティアドバイザリを直接確認してほしい。
- Apple(AirDrop):macOS・iOS・iPadOSを最新バージョンに保つ。AirDropを「連絡先のみ」または「受信しない」に設定する(設定→一般→AirDrop)
- Samsung端末(Quick Share):Androidの最新セキュリティパッチを適用する。Quick Shareの「全員に表示」設定を避ける
- Google Quick Share for Windows:最新バージョンへ更新する(Googleは研究者へ報奨金を授与しており、対応済みの可能性が高い)
- MDMポリシーの見直し:Bluetooth・近距離共有機能のポリシーを棚卸しし、業務上不要な設定は無効化を検討する
スマートフォン・タブレットの業務利用における総合的なセキュリティ対策は、IPAの中小企業の情報セキュリティ対策ガイドライン(https://www.ipa.go.jp/security/guide/sme/index.html)も参照のこと。
研究の限界・注意点
本論文はarXivに投稿された査読前のプレプリントであり、結果や解釈は今後変わる可能性がある。また、CVE番号の正式採番・各ベンダーの公式パッチリリース状況は、本稿執筆時点(2026年6月)では公開情報が限定的だ。公式アドバイザリを随時確認し、パッチが出次第速やかに適用することを推奨する。
まとめ
- Apple AirDrop・Samsung/Google Quick Shareに計6件の脆弱性(うち1件はヒープUAFでGoogleが報奨金授与)が研究者によって発見された
- 近距離無線・ペアリング不要・ゼロクリックの特性があり、社給端末やBYOD端末が多い職場環境での潜在リスクとして認識すべき
- まず各OSのアップデート適用、近距離共有設定の「連絡先のみ」への変更、MDMポリシーの棚卸しを優先的に検討する
出典
- Ale Ebrahim, A. & Tippenhauer, N. O. (2026). “Protocol Prying: Systematic Vulnerability Research in the Apple AirDrop and Android Quick Share Proximity Transfer Protocols.” arXiv:2606.26967. https://arxiv.org/abs/2606.26967
