UserLAndで相変わらずIPv6が使えます

「UserLAndでIPv6が使えなくなりました」というタイトルでしたが、修正します。

タイトルの通りですが、Androidで気軽にLinuxが試せるUserLAndという、AS〇IIなどでも紹介されているアプリがあります。このアプリ、デフォルトではrootパスワード無し、しかもIPv6がデフォルトで有効、という素敵な仕様のため、IPv6 Readyな環境でろくにセキュリティを考えずに動かすと…当然のごとく「ざる」状態で外部からやりたい放題となります。

日本は長らくIPv4、しかもISPの巨大NATの下でプライベートIPでぬくぬくしていたのと、特に携帯キャリアが皆さんの端末にIPv6を、特に注意喚起することなくいつの間にか割り当てるようになったため、エンドユーザー、つまり皆さんが知らず知らずのうちに、皆さんのAndroid端末に侵入されかねない状態になっているのです。

このアプリについてはJPCERT/CCに脆弱性報告をしたのですが、もとをただせばAndroidが、つまりGoogleが、他のOSやスマホのように、ユーザーが意図的に許可しない限り、外部からの新しい接続についてはフィルタリング、つまり弾くようにすべきではないかと思います。インターネットのもともとの考えとしてはフィルタリングするしないは利用者にゆだねられているのでそうできればいいのですが、Androidはそもそもユーザーレベルでこのようなフィルタリングは現状できないので、困ったもんです。

というわけで、イベントで全国各地でこの脆弱性、というかあなたのスマホの危ないよ、という啓蒙活動をしてきましたが、先日(2025.09)、Androidが姑息なセキュリティパッチを当ててきました。

それまでは～1024番ポートまでは特権ポートとしてアプリでは利用できない、となっていたのでUserLAndのデフォルトsshdポート:2022番は問題なく(？)外部からアクセスできたのですが、パッチ当ての後はなんと特権ポートを～2048番ポートまで拡張したらしいのです。つまり2022番はアプリには使えないので「一見するとUserLAndが対策した」「Androidが対策した」ように見えたのですが、何のことはない、sshdポートを2048番より上にしたら、普通にアクセスできてしまう、相変わらず「ざる」のままでした。

というわけで、Androidをお使いの皆さんは改めて気を付けていただければと思います。

あー、今後のOSCでの展示をどうしようかなー？

引き続きOSCで脆弱性とセキュリティ意識向上のための展示ができるのでよかったです(爆