Pixnapping(ピクスナッピング)は、画面上に表示されたピクセル情報を端末上の悪意あるアプリから盗み出す新しいタイプの攻撃です。研究チームは Pixel 6〜9 や Galaxy S25 で実証を行い、Google Authenticator のワンタイムコードを30秒以内に復元することに成功しています。
これは単なる理論ではなく、現実に動作するサイドチャネル攻撃です。2FAコード、チャット、Gmailの表示内容など、ユーザーが画面で見ている情報が標的になります。
なにが問題なのか
通常、アプリ間で画面の中身を直接読み取ることは制限されています。しかし Pixnapping は Android のレンダリング関連API(intent経由のアクティビティ呼び出し、ウィンドウのブラー処理、VSyncコールバックなど)と、GPUに依存するハードウェア副チャネル「GPU.zip」を組み合わせ、表示中のピクセル単位で情報を抽出します。
つまり、他アプリの画面を「スクリーンショットを撮るように」再構成できてしまうのです。
攻撃の要点
・対象端末は Pixel 6〜9 および Galaxy S25(Android 13〜16で実証)
・マニフェストに権限を一切記載しないアプリでも攻撃可能
・2FAコードを30秒以内に復元可能
・CVE-2025-48561 として登録済み
・Googleの初期パッチには回避策が見つかっており、完全修正は未完了
影響範囲
Pixnappingの仕組みは、Androidのレンダリングパイプラインそのものに依存しているため、多くのAndroid端末に波及する可能性があります。PixelやSamsung以外でも影響が出る恐れがあります。また、WebGLなどブラウザ経由の描画処理にも類似の副チャネルが存在し、今後研究が進むとWeb経由の攻撃にも発展する懸念があります。
攻撃者の配布手口
Pixnappingは、通常は「野良アプリ」や改変された正規アプリにコードを埋め込み、ユーザーにインストールさせる形で広がります。代表的な手口は以下の通りです。
・サイドロード(非公式ストアやAPK直接配布)
・人気アプリを改変して再配布(リパッケージ攻撃)
・広告SDKや外部ライブラリに悪意コードを混入(サプライチェーン侵害)
・「便利ツール」や「壁紙アプリ」など無害に見せかけたアプリへの埋め込み
・アップデート機能を悪用した二段階的コード挿入
権限が不要である点を悪用し、見かけ上安全なアプリとして配布するのが特徴です。
ユーザーが今すぐできる対策
- 不明なソースからのアプリインストールを無効にする
- 非公式ストアや怪しいAPKを使用しない
- OSとアプリを常に最新状態に保つ
- 重要アカウントにはハードウェアキー(FIDO2 / YubiKeyなど)を使用する
- Play Protectなどの検出機能を有効化する
- 不審なアプリや挙動は即削除する
- 企業端末ではサイドロード禁止とアプリホワイトリスト運用を行う
開発者・サービス提供者への注意
研究チームはアプリ側での有効な緩和策を提示していません。現時点ではOSレベルの修正が不可欠です。
アプリ側では、画面上に認証コードや機密情報を表示しない設計を検討するほか、ハードウェアキー認証や別経路通知などでリスクを分散することが現実的な対策となります。
まとめ
Pixnappingは、GPUというこれまで盲点だった層から情報を盗み出す、極めて静かな新型攻撃です。すでにCVEが割り当てられ、GoogleやSamsungが修正に動いているものの、根本的な解決には時間がかかります。
今できる最善の防御は「未知のアプリを入れない」「早めにアップデートを適用する」「ハードウェアキーを導入する」。この3点に尽きます。
簡易チェックリスト
・サイドロードを無効にする
・不明なアプリは入れない
・OSとアプリを常に最新にする
・ハードウェアキーを導入する
・企業端末ではホワイトリストとEDRを導入する
Pixnapping公式サイト(研究・CVE情報)
https://www.pixnapping.com/
