Androidのセキュリティ問題

2020.02.09

Androidは世界的に最も普及しているモバイルOSですが、構造上の仕組みによりセキュリティパッチの配信が遅れたり、サポート期間が不統一であるなどの課題を抱えています。
さらに Googleサービスに依存する設計から、大規模な個人データ収集と利用が OSレベルで行われており、セキュリティの問題は外部からの脅威だけでなく内部利用の側面も含まれています。

Androidの更新構造とサポートの問題

Androidは Googleが OSとセキュリティパッチを開発していますが、デバイスメーカーが自社機種向けに適合させ、通信キャリアがネットワークや独自アプリとの整合性を確認したうえで、ユーザーのデバイスに配信します。
この多層的な更新構造により、セキュリティパッチやOSアップデートの配布は統一されず、サポート期間の不一致や配信遅延の原因となっています。

デバイスのサポート期間

OSの開発元である Googleが直接セキュリティアップデートを配信しているのは Pixelなど自社デバイスに限られます。Pixel 6以降はリリースから最低5年間のセキュリティアップデートが保証され、Pixel 8以降では7年間に延長されました。
近年は一部のベンダーが製品リリース時に OSとセキュリティパッチのサポート期間を明示するようになりましたが、多くのメーカーでは明確な案内がなく、セキュリティ更新が途中で停止する事例が依然として存在します。

✏️Pixel 6シリーズ(Pixel 6、6a、6 Pro)は当初「3年間のOS更新+5年間のセキュリティ更新」とされていましたが、後に方針が変更され、最大5年間のOSおよびセキュリティ更新が提供されることになりました。この延長サポートにより、Pixel 6シリーズは 2024年10月にリリースされた Android 15へのアップグレード対象となっています。

  • Pixelのモデル別サポート期間は こちら を参照してください。
三大キャリアのアップデート情報

ドコモ、au、ソフトバンクの主要キャリアが販売する端末は、従来リリースから約3年間のセキュリティパッチ提供が一般的でしたが、近年はハイエンドモデルを中心にOSとセキュリティパッチのサポート期間を 5年間保証する機種も増えています。

⚠️楽天モバイルについては、OSのアップグレードやセキュリティパッチのサポート期間に関する公式な保証方針は公開されていません。
利用しているモデルのサポート状況は、メーカーの情報や端末設定画面で個別に確認する必要があります。

Amazonなどで販売されている一部の中国メーカー製の低価格帯スマートフォンは、OSのアップグレードが提供されず、セキュリティパッチの配信も発売から約1年程度で終了する場合が多く、継続利用にはセキュリティ上のリスクが伴います。

セキュリティパッチ配布の遅延

Googleは毎月セキュリティパッチを公開していますが、Google以外のベンダーが提供する端末では機種ごとのカスタマイズ作業が必要となるため、配信が数か月遅れる場合があります。
GoogleがAndroidの脆弱性を修正しても、ユーザーの端末にパッチが届くかどうかはベンダーの対応に依存しており、この構造が Androidにおける大きなセキュリティ上の課題となっています。

android-securitu-issues-003

Googleが推奨するエンタープライズ向けデバイス要件では、かつて「常に最新の状態として90日以内にセキュリティパッチを提供する」と規定されていました。この条件では、最新状態であるはずの端末でも最大3か月の遅れが容認され、その間は既知の脆弱性が放置される状況が発生していました。
現在は「90日以内」という具体的な期間が削除され、「適切なタイミング」と曖昧な表現に置き換えられており、実際の配信時期が一層不明瞭になっています。

古い調査結果ではありますが、2015年に実施されたケンブリッジ大学の調査 では、Androidデバイスの 87%はセキュリティパッチがタイムリーに配信されておらず、1 件以上の深刻な脆弱性に晒されているという結果が出ています。
さらに、同年の AndroidVulnerabilities.org によるグローバルベンダー別パッチ配布実績では、Google製のNexusが最高スコアとなり、次いでLG・Motorola・Samsungが続き、Sony・Asus・HTCといった国内でも普及していたメーカーは低いスコアに留まる結果となりました。

フラグメント化の問題

Androidはオープンソースのため導入コストが低く、スマートフォンやタブレットに加え、テレビ・デジカメ・ミュージックプレーヤー・IoT機器など幅広いデバイスで利用されています。
しかし、多層的な更新構造の影響で、アップデートが提供されない端末も多く存在し、最新バージョンに移行できないまま古いOSが稼働し続ける状況が生じており、セキュリティリスクを抱えた旧バージョンが市場に残存する「フラグメント化」の問題が顕在化しています。

用語解説

フラグメント化とは、同じOSでありながら利用者の端末に異なるバージョンが混在し、統一された環境が維持できなくなる現象を指します。
Androidではベンダーやキャリアごとにアップデート提供の時期や期間が異なるため、最新バージョンに移行できない端末が一定数残り、結果として旧バージョンが長期間稼働し続けます。この状況はセキュリティリスクを高める要因となり、iOSと比較した際の大きな違いの一つとされています。

StatCounter-android_version-JP-monthly-202507-202507-bar
Statcounter

2025年8月現在の日本国内におけるAndroid OSシェアは、Android 16.0が6.76%、15.0が28.91%、14.0が17.15%、13.0が13.6%、12.0が12.76%となっています。
Android 12のサポートは Pixelなど一部を除いて終了していると考えられるため、Android 11以前のバージョンと合わせると、セキュリティアップデートの提供が終了した旧バージョンを利用する端末が3割ほど残存している状況です。

StatCounter-ios_version-JP-monthly-202507-202507-bar
Statcounter

Appleが管理しているiOSは、セキュリティパッチが配信される最新のバージョン18.5が70.05%を占め、18.4以前のシェアは合計で3割に達しますが、Androidと比較するとフラグメント化は限定的です。

総務省の施策によりデバイスの実質0円販売が禁止されたことに加え、端末価格の高額化によって買い替え周期が長期化しており、このこともフラグメント化を助長する要因になっています。

Googleの対策と限界

開発元のGoogleも、Androidにおけるフラグメント化の問題を懸念して対策を講じてきました。コンシューマー向けには、2015年にリリースされた Android 6.0からセキュリティアップデートの最終適用日を確認できる機能を導入しています。一方ベンダー向けには、2017年の Android 8.0(Oreo)から[Project Treble]を実装し、OS更新を容易にする仕組みを整備しました。

セキュリティアップデートの最終適用日

Androidは Windowsのようにサポート終了を一律にアナウンスする仕組みがなく、サポートが終了しても警告が表示されることはありません。
特に初期のAndroidではセキュリティパッチの提供期間が明示されず、リスクが指摘されていました。
この対策として Googleは、セキュリティアップデートの最終適用日を確認できる機能を導入します。

📝 セキュリティパッチレベルの確認方法

  • Android 9.0以降:[設定]→[デバイス情報]→[Androidのバージョン]
  • Android 8.0以前:[設定]→[端末情報]
android-securitu-issues-001

セキュリティパッチの最終適用日は確認できますが、サポートが終了しているのか、単に配信が遅延しているのかはユーザー自身で判断する必要があります。また、パソコンと違ってスマートフォンは利用者層が幅広く、「設定」を確認しないユーザーも多く存在します。

最終適用日を確認できること自体は重要ですが、ベンダーやキャリアがセキュリティアップデートに関する情報発信を積極的に行っていない現状では、フラグメント化の解消に与える影響は限定的です。

Project Trebleの導入

Project Trebleは、Androidのシステム部分とベンダー独自の実装部分を切り離す仕組みで、ベンダーがOSをアップデートしやすい環境を整備することを目的としています。

Android Security Issues 004

この構造により、Googleが開発したOSの基幹部分を修正する必要がなくなり、ベンダーは自社機種向けのカスタマイズ作業を効率化できるようになりました。しかし、Treble導入後も OSアップデートやセキュリティパッチの配信状況に大きな改善は見られていません。

Android Oneの展開

Androidのフラグメント化とセキュリティパッチ配布遅延への対策の一つとして、Googleは 2014年に[Android One]を展開します。
Android Oneは「Google体験を中心に設計されたシンプルなAndroidデバイス」で、最新バージョンの Androidを搭載して出荷され、毎月のセキュリティアップデートとOSアップグレードを提供することをコンセプトとしていました。

x2-securitypatch

当初は、Androidデバイスの利用率が高くフラグメント化が進んでいたインドでリリースされ、その後は東南アジアを中心に展開されました。
日本では2016年にソフトバンクからシャープ製の507SHが発売され、以降はソフトバンクとY!mobileからシャープ、京セラ、HTCのモデルが投入されましたが、2023年時点では京セラの一部機種と、海外ではノキアのみとなり、展開は縮小傾向にあります。

2017年11月末に Y!mobileから発売された HTC製の Android One X2では、セキュリティパッチが2〜3か月間隔で配信されるなど、当初の「毎月配信」というコンセプトから乖離した運用となっていました。

現在は、発売から2年間に最低1回以上のOSバージョンアップと、発売から3年間のセキュリティパッチ配信が保証されるのみで、一般モデルとの差別化はほとんど見られません。

多層構造とベンダー依存の弊害

Androidが現在の多層構造に至った背景には、オープンソースとしての普及戦略があります。Googleは Androidの基盤となるソースコードを、誰でも利用・改変できるライセンスにして、AOSP(Android Open Source Project)として無償公開しました。
これにより端末メーカーは、自社製品のハードウェアや機能に合わせて自由にカスタマイズして利用できるようになり、Androidは多くのメーカーから採用されます。

技術面では、SoCベンダーが Linuxカーネルや各種デバイスドライバ、ベースバンド/カメラなどのファームウェアを含むBSPを供給し、端末メーカーはボード差分やセンサー構成、独自UI・プリインアプリを組み込みます。
Googleは GMS(Google Mobile Services)や適合性テスト(CDD/CTS)を提供し、キャリアは VoLTE/IMS、緊急通報、周波数帯、地域規制への適合確認を行います。

Googleが月例の脆弱性修正を公開しても、SoCベンダー・端末メーカー・キャリアという順で作業が連鎖し、各層で移植・検証・認証が必要なため、配信が遅延または停止しやすくなります。
特に、SoCベンダーがサポートを終了した部品(EOL)や、Linux本体に取り込まれていない独自ドライバは更新作業が難しく、OSの新バージョンへ移行するための手間とコストを増大させるので、低〜中価格帯機ではサポート期間が短くなる傾向があります。加えて、アップデートは収益に直結しにくく、新機種開発が優先される組織上の配分も遅延要因になっています。

iPhoneやiPadは、Appleがデバイスの製造からOSの開発・アップデートまで一元管理しているため、ハードウェアとソフトウェアを統合した製品になっています。
一方、Androidはソフトウェアとハードウェアの管理が分散しており、それぞれで収益構造も異なるため、既存デバイスの「アップデート」という収益性の低い作業の優先度は低くなりがちです。

iPhoneが先行する状況で、Googleが採用した Androidを普及させるビジネスモデルは成功しました。同じようにスマートフォン市場に参入していたMicrosoftは、十分な普及を得られず撤退しています。
しかし、普及を優先させた結果「ユーザーの保護」がベンダーの都合によって後回しにされ、さらに責任の所在が曖昧になるという構造的な問題を抱えることになったのです。

Googleによるデータ収集とセキュリティの境界

Androidのセキュリティ問題は、外部からの脅威だけでなく、OS設計に組み込まれた Googleによるデータ収集の仕組みとも密接に関わっています。
Androidは基本サービスとして Googleアカウントとの連携を前提にしており、検索履歴、位置情報、アプリ利用状況など多様な個人データが収集されます。これらのデータは広告配信やサービス最適化に活用され、Googleの主要な収益源となっています。

この仕組みは表向き「サービス向上」や「セキュリティ確保」を目的に説明されますが、ユーザーの視点からは「どこまでがセキュリティのための収集で、どこからがビジネス利用なのか」という境界が不明瞭です。
例えば、マルウェア検知や不正アクセス防止のためのデータ送信と、広告ターゲティングのためのデータ送信は、同じ通信経路やアカウント基盤で処理されることが多く、利用者が区別できません。

さらに、[Google Play開発者サービス]や[位置情報サービス]などはシステムに深く統合されており、利用を完全に停止することが困難です。
ユーザーが設定で制御できるのは一部に限られ、多くは「利用するか/しないか」という選択肢しか提示されません。実質的に Googleサービスを切り離すには、/e/OSや LineageOS for microGといった代替OSを導入する必要があるのが現状です。

個人情報収集の脅威

Android端末を利用することで、検索履歴、位置情報、アプリの利用状況など多様なデータが Googleに送信されます。これらは一見すると「個人を特定できない匿名データ」として扱われますが、実際には複数の情報を組み合わせることで特定のユーザーを再識別でき、詳細なプロファイルの作成が可能です。

広告会社やデータブローカーは、断片的な利用データを収集・統合して販売し、年齢層や嗜好だけでなく、生活リズムや交友関係といった高度に個人的な情報まで推定します。こうしたプロファイリングは、サービス改善の域を超え、ターゲティング広告や価格差別、ひいては行動予測にまで利用される可能性があります。

また、個人情報保護は政府関係者や企業要人だけの問題ではありません。一般の利用者であっても、データが外部に流通することで、詐欺、標的広告、差別的取扱いなどに繋がるリスクがあります。自分の情報が「脅威になり得る資源」であるという認識を持つことが、セキュリティを考える上で欠かせません。

特にAndroidでは、こうした個人情報の多くが Googleのサービスを通じて収集・利用されています。大手企業である Googleなら安心と考えがちですが、それは誤りです。
現在の Googleは広告を中心とした収益優先型の体制へと傾いており、株主利益を最優先に行動する企業です。ユーザーの個人データも、その収益構造の中で積極的に活用されているという現実を前提に捉える必要があります。

更新履歴

  • 2025-08-23:サイトのリニューアルに伴い、記事を再編集
  • 2020-02-09:初版公開

お問い合わせ

📬 ご質問・ご連絡は、メールか SNS(X または Bluesky)にて受け付けています。

原則として XではDMでのご連絡をお願いいたします。投稿への公開コメントでも対応可能ですが、内容により返信を控えさせていただく場合があります。
※ Blueskyには非公開メッセージ機能がないため、メンションによる公開投稿でのご連絡をお願いいたします。

※投稿内容に関するご質問には可能な範囲でお答えします。
ただし、当サイトはアプリの開発元ではなく、技術サポートや不具合の対応は行っておりません
また、すべてのご質問への返信を保証するものではありませんので、あらかじめご了承ください。