WIREDに掲載されているすべての製品は、編集者が独自に選定したものです。ただし、小売店やリンクを経由した製品購入から報酬を受け取る場合があります。詳細はこちらをご覧ください。
GoogleのオープンソースモバイルOSであるAndroidは、世界中で20億台以上のデバイスで稼働しています。多様なデバイスが、カスタマイズされた旧式のソフトウェアを実行する、断片化されたエコシステムとなっています。つまり、セキュリティ上の悪夢と言えるでしょう。
アナリストの推定によると、これらのデバイスのうち約10億台は2年以上前のAndroidバージョンを搭載しており、多くの既知のセキュリティ脆弱性の脅威にさらされています。新しいAndroidリリース間のギャップを埋めるため、Googleは毎月セキュリティパッチを作成していますが、これまではHTCやSamsungなどのハードウェアメーカーが、スマートフォンを購入したユーザーに実際にパッチを配布してきました。そして、必ずしもそうしてきたわけではありません。
「Googleの巨大なモバイルエコシステムでは、Android OSを最新バージョンにアップグレードせず、セキュリティアップデートやパッチを適用しないユーザー(意図的か否かに関わらず)による問題は今後も続くでしょう」と、セキュリティ企業Acronisのサイバープロテクション担当ディレクター、ジェームズ・スラビー氏は述べている。「簡単に言えば、ユーザーの脆弱性が高まるのです。」
理論上、ユーザーと携帯電話メーカーはどちらも、自社の携帯電話に常に最新のパッチを適用しておくことに強い関心を持つはずです。しかし、ユーザーはソフトウェアアップデートを面倒に感じ、すぐにインストールしません。一方、ベンダーにとっては、Googleが新しいパッチをリリースしたからといって、ただ送信するだけでは済まないのです。特にカスタムバージョンのAndroidを使用している場合はなおさらです。古いデバイスのメンテナンスではなく、新しいデバイスの開発にリソースを集中させたい企業にとっては、大変な作業となる可能性があります。
2017年、GoogleはAndroidデバイスの半数以上が前年にアップデートを受けていなかったことを明らかにしました。アメリカの5大携帯通信事業者のAndroidデバイスを分析したところ、約4分の3が2か月以上アップデートが遅れていました。
ドイツの企業 Security Research Labs が 2 年間にわたって 1,200 台の Android デバイスを調査した研究によると、一部の携帯電話では、実際にはパッチが完全に適用されていないにもかかわらず、デバイスが完全にパッチ適用されているとユーザーに通知するものもあります (確認できるアプリ SnoopSnitch がリリースされています)。
続きを読む: 2021年に買える最高のAndroidスマートフォン
Googleは、Androidの断片化されたセキュリティ問題の改善に尽力してきました。Androidの基盤構造の変更(Project Trebleとして知られる)により、高度にカスタマイズされたAndroidを運用するメーカーにとってパッチ適用が容易になり、2017年にはパッチ適用済みデバイスの数が30%増加しました。
「Androidベンダーは1年前よりもずっと徹底しています」とSRLの主任科学者であるカーステン・ノール氏は述べ、彼らはさらに追い打ちをかけられようとしている。The Vergeが入手した機密契約によると、Androidデバイスメーカーは現在、スマートフォンの販売後少なくとも2年間は定期的なアップデートをインストールする契約上の義務を負っている。
2018年1月末以降に発売され、ユーザー数が10万人を超えるAndroid端末に適用される契約条件では、ベンダーは携帯電話の販売後1年間に少なくとも4回のセキュリティアップデートを提供し、2年目も継続して提供しなければならないと規定されている。
この措置は、脆弱性が明らかになってからセキュリティアップデートで修正されるまでの「機会の窓」を短縮するのに役立つはずだと、インペリアル・カレッジ・ロンドンのコンピューティング学部講師、ソテリス・デメトリウ氏は述べている。「デバイスの更新が早ければ早いほど、悪用される可能性のある窓は短くなります。Googleの措置は、この窓を最大でも90日間に抑えることを目指しており、これはデバイスの使いやすさとセキュリティの間の、完璧ではないものの妥当な妥協点です。」
これは歓迎すべき進展ではあるものの、長らく待たれていた。「Windows、Mac、iOSのユーザーは、すでに何年もパッチを受け取ることに慣れています」とノール氏は語る。「最大かつ最も複雑なOSエコシステムであるAndroidが、将来のすべてのユーザーに対してこのような基本的なセキュリティ対策を提供し始めるのは、大きな前進です。」
では、なぜ今なのか?スラビー氏は、Androidメーカーの数が増え、その中にはGoogleが望むほどセキュリティを真剣に考えていないメーカーもあることが原因ではないかと示唆している。「ユーザーの個人データを日常的に扱うGoogleのような企業にとって、自社のエコシステムがプライバシーとセキュリティを保証することを明確に表明することは重要です」とスラビー氏は述べている。
続きを読む: Android Pieレビュー: AI搭載スマートフォンの未来を垣間見る
デメトリウ氏は、これは今年初めに欧州連合(EU)で施行された一般データ保護規則(GDPR)の広範な影響に関連している可能性があると考えている。「GDPRはEU域内の企業だけでなく、域外で事業を展開する企業にも影響を与えます」と彼は言う。「したがって、例えばAndroidの脆弱性を悪用したモバイルアプリによってプライバシー侵害が行われた場合、GDPRの下ではGoogleが法的責任を問われる可能性があります。こうした契約上の合意によって、Googleは自らを守っているのです。」
この変更は、欧州委員会から反競争的行為を理由に38億ポンドという巨額の制裁金を科されたことを受け、Googleが端末サプライヤーとの契約を書き換えたことが原因とも考えられます。Googleは譲歩の一環として、Androidおよび端末メーカーとの契約内容を変更することに同意しました。
新しいセキュリティ要件は、主に最新バージョンのOSであるOreoまたはPieを搭載したデバイスに適用されます。「Androidの既存ユーザーは、新しいライセンス契約の対象となるモデルにアップグレードする際に、新しい要件の恩恵を直接受けることができます」とノール氏は述べています。「古いスマートフォンは、更新されたライセンス条項の恩恵を必ずしも直接受けられるとは限りません。」
デメトリウ氏によると、これは約80%のデバイスがこの変更によって保護されないことを意味する。「市場の大部分は影響を受けない」と彼は言う。また、この変更はGoogleが提供するソフトウェアの一部にのみ適用されるため、オペレーティングシステムのカスタマイズされた部分の脆弱性は保護されない。
しかし、長期的には、この変更はAndroidエコシステムにとって間違いなく大きなメリットとなるでしょう。「効果が出るまでには時間がかかるかもしれません」とデメトリウ氏は言いますが、正しい方向への一歩であることは間違いありません。
しかし、Googleが修正できない大きなセキュリティ上の欠陥がまだ一つあります。それは私たち人間です。「人間には欠点があり、セキュリティとプライバシーを常に真剣に受け止めているわけではありません」とスラビー氏は言います。「今回の変更は良いことですが、ソフトウェアアップデートが必須ではないため、依然として問題があります。」
この記事はWIRED UKで最初に公開されました。
