Androidのセキュリティ問題とサポート期間

Android-Security-icon
2020.02.09

Androidデバイスのセキュリティ問題

  • Android OSは Googleが開発し、デバイス製造メーカーやキャリア各社がカスタマイズする二重構造になっているため、セキュリティパッチの配信にタイムラグがある
  • OSのアップデートが製造メーカーによって実施されるため、サポート期間が統一されていない
  • OSのアップデートやセキュリティパッチのサポート期間が終了してもアナウンスがないため、セキュリティリスクのあるデバイスを使用し続けるユーザーが多く、OSのバージョンがフラグメント化している
Googleや Apple は OSのサポート期間を非公開にしている。

セキュアな Androidの代替えOSについては  LineageOS のインストールと設定 を参照。

Androidのバージョン一覧

バージョン コードネーム リリース日
Android 1.0 Applepie 2008年 9月
Android 1.1 Bananabread 2009年 2月
Android 1.5 Cupcake 2009年 4月
Android 1.6 Donuts 2009年 9月
Android 2.0 Ekrea 2009年 10月
Android 2.2 Froyo(FrozenYogurt) 2010年 5月
Android 2.3 Gingerbread 2010年 12月
Android 3.0 HoneyComb 2011年 5月
Android 4.0 Ice Cream Sandwich 2011年 10月
Android 4.1 Jelly Bean 2012年 7月
Android 4.4 KitKat 2013年 7月
Android 5.0 Lolipop 2014年 7月
Android 6.0 Marshmallow 2015年 10月
Android 7.0 Nougat 2016年 8月
Android 8.0 Oreo 2017年 8月
Android 9.0 Pie 2018年 8月
Android 10 Android 10 2019年 9月
Android 11 Android 11 2020 年 9月
Android 12 Android 12 2021 年 9月
Android 13 Android 13 2022 年 8月
Android 14 Android 14 2023 年 10月

Android 9.0まではお菓子に因んだコードネームがアルファベット順で付けられていたが、バージョン 10で廃止された。

バージョン 1.0 と 2.0 は 非公開 のため ApplepieBananabread については公式のアナウンスはなく、バージョン 1.5 の Cupcake からアナウンス されている。

Android のサポート期間

Android OSを開発している Googleがセキュリティアップデートを提供しているのは、Googleからリリースされている Pixelなどの自社デバイスのみで、Google製デバイス(Pixel 6以降)のセキュリティアップデートはリリースから最低 5年間 保証される。

Pixel 8のセキュリティアップデートは 7年に延長。

最近は 一部のベンダーで製品リリース時に OSとセキュリティパッチのサポート期間を公表するようになったが、未だアナウンスもなくセキュリティパッチの配信がフェードアウトし、脆弱性を抱えたデバイスを使用するのはユーザーの自己責任というスタンスのデバイスメーカーが多い。

リリース日 モデル Android バージョンアップ セキュリティアップデート
2023年 10月 Pixel 8 2030年 10月 2030年 10月
2022年 10月 Pixel 7 2025年 10月 2027年 10月
2022年 7月 Pixel 6a 2025年 7月 2027年 7月
2021年 10月 Pixel 6 2024年 10月 2026年 10月
2021年 8月 Pixel 5a 2024年 8月 2024年 8月
2020年 10月 Pixel 5 2023年 10月 2023年 10月
2020年 8月 Pixel 4a 2023年 8月 2023年 8月
2019年 10月 Pixel 4 2022年 10月 2022年 10月
2019年 5月 Pixel 3a 2022年 5月 2022年 5月
2018年 10月 Pixel 3 2021年 10月 2021年 10月

Pixel Phone ヘルプ – Android アップデートが提供されるタイミング

三大キャリアのアップデート情報

各キャリアの製品もリリースから 3年はセキュリティパッチを配信しているところが多く、セキュリティ面やバッテリーの劣化を考慮すると、デバイスの使用期限は製品のリリースから 3年が一つの目安になる。

アップデートの問題

Googleからは毎月セキュリティパッチが提供されているが、大手キャリアが提供しているデバイスや、SIMフリー端末のようにベンダーが直接販売しているデバイスは、各デバイス用にカスタマイズが必要なため、セキュリティパッチの提供が数ヶ月遅れになっている。

android-securitu-issues-003

Googleが推奨しているエンタープライズ向けのデバイス要件には、常に最新の状態 として 90日以内にセキュリティパッチが提供 とあり、3ヶ月に1回 のセキュリティパッチ適用で及第点になり、デバイスによっては 3ヶ月以上セキュリティパッチが配信されていないケースもある。
Android Enterprise Recommended

現在は 90日以内 という表記はなく、適切なタイミング と曖昧な表現になっている。

Googleと同様にキャリアやデバイスベンダーがリリースから最低 3 年間のセキュリティアップデートを保証したとしても、現状のように3ヶ月に1 回程度のアップデートでは、最新バージョンの Androidを使用していてもセキュリティホールが一定期間放置されることになる。

android-securitu-issues-002

「Android」フォンの87%で脆弱性が放置–ケンブリッジ大調査

2015年に実施されたケンブリッジ大学の調査では、Androidデバイスの 87%はセキュリティパッチがタイムリーに配信されておらず、1 件以上の深刻な脆弱性に晒されているという結果が出ている。

Googleが Androidの脆弱性を修正しても、パッチが配信されるか否かはベンダー次第というのが Androidの抱えている最も大きなセキュリティ問題。

android-securitu-issues-003

AndroidVulnerabilities.org に掲載されているグローバルベンダー別の 2015年度パッチ配布実績のスコア。

Google製の Nexusが最高スコアで、続いて LG・ Motorola・Samsung という順位になっており、Sony・Asus・HTCなど国内でも人気のあるメーカーのスコアが低い。
※ LG は 2021年 4月 にスマートフォン事業からの撤退を発表。  

Motorola(Motorola Mobility)は 2011年に Googleが買収して 2014年にレノボ へ売却されており、レノボの 100%子会社になってからは、セキュリティパッチの配信が 2-3ヶ月に 1度の頻度になっている。

フラグメント化の問題

Androidはオープンソースのため導入コストが安く、スマホやタブレットのほかにもテレビ・デジカメ・ミュージックプレーヤー・IoT機器などのデバイスで使用されているが、セキュリティのサポート期間が終了している多くのデバイスが放置状態にある。

android-securitu-issues-001

2015年にリリースされた Android 6.0(Marshmallow )からセキュリティアップデートの最終適用日を確認できるようになった。

  • Android 9.0 / 10 / 11 / 12/ 13
     設定 → システム → 詳細設定 → システム アップデート
  • Android 6.0 / 7.0 / 8.0
    設定 → 端末情報 → Android セキュリティパッチレベル

StatCounter-android_version-JP-monthly-202306-202311

StatCounter

2023年 11月現在の Android OS 日本国内シェア
  1. Android 13.0:33.66%
  2. Android 12.0:17.76%
  3. Android 11.0:13.31%
  4. Android 10.0:11.05%
  5. Android 9.0:9.31%
  6. Android 14.0:5.85%
  7. Android 8.0 Oreo:2.65%
  8. Android 7.0:1.53%
  9. Android 5.1:1.47%

セキュリティアップデートの更新が停止していると思われる Android 11以前のバージョンで動作しているデバイスのシェアが約 39%と、4割近いデバイスが脅威に対して脆弱な状態で使用されており、総務省の施策によりデバイスの実質 0円販売が事実上禁止され、デバイスの買い替え周期が遅くなったこともフラグメント化に拍車をかける結果になっている。

2023年 11月現在の Windows 日本国内シェア
  1. Windows 10:59.66%
  2. Windows 11:37.46%
  3. Windows 7:1.77%
  4. Windows 8.1:0.74%
  5. Windows 8:0.12%
  6. Windows XP:0.11%

サポート期間が終了しているのは Windows7のほか Windows 8/ Vista/ XPで、サポートが終了している OSの稼働率は 2.74% 。
Microsoftはサポート終了前から執拗にアナウンスしてアップグレードを促すので新バージョンへの批判も多いが、バージョンのフラグメント化は最小限に抑えられている。

Project Treble

Googleも Androidのフラグメント化を懸念しており、Android 8.0(Oreo)から Project Treble を実装した。

Android Security Issues 004

Project Treble は Androidのシステム部分とベンダー独自の実装部分を切り離すもので、ベンダーが OSをアップデートしやすい環境に改善されている。

Android One

Androidのフラグメント化とセキュリティパッチの配布遅延問題に対する1つの対策として、Googleは Android One を展開。

Android One は 2014 年にAndroidデバイスの使用率が高く バージョンのフラグメント化が進行している インド で リリースされた後 東南アジアを中心に展開。
日本では 2016年 にソフトバンクからシャープの 507SHが発売され、以降はソフトバンクと Y Mobileからシャープ/ 京セラ/ HTC のモデルが発売されていたが、2023年にリリースされたモデルは京セラのみで、海外モデルもノキアのみになるなどフェードアウト気味になっている。

x2-securitypatch

Android One

Android One Google体験を中心に設計されたシンプルで使いやすい Androidデバイス で、最新バージョンの Androidで出荷され、毎月のセキュリティ アップデートと OSアップグレード提供 がコンセプトの商品だったが、2017年 11月末に Y Mobileからリリースされた HTC製の Android One X2では、セキュリティパッチ 2-3ヶ月間隔で配信されるなど、当初のコンセプトから乖離した運用になっており、現在は発売から2年間に最低1回以上のOSバージョンアップと、発売から3年間のセキュリティパッチ配信が保証されるだけになった。

デバイスを長く使用するなら スペックや価格だけでデバイスを選択するのではなく、ベンダーのセキュリティパッチ供給状況やAndroid のバージョン、機種のリリース日などを含めた検討が重要。
関連記事
Android-Store-icon

Google Playストア の代替えストアアプリ

Google Playストア の代替えストアアプリ – Google Mobile Service が不要な AuroraStore・APKMirror・APKPure など Android の非公式ストアアプリのインストールと使い方

Android-Tools-icon

Android Flash Tool の 使用手順

Google Pixel2以降の Google製デバイスをウェブ上の操作で指定したバージョンのファクトリーイメージにフラッシュバックできる Googleが提供している フラッシュツール Android to Flash Tool の使用手順

Android-privacy-icon

Androidアプリのデータ収集とプライバシー

Androidアプリのデータ収集とプライバシー – 無料アプリが収益化している個人情報の収集 と Google Play ストア で確認できる 収集されるデータ・共有されるデータ、危険な権限 など プライバシーを保護する際のポイント

Android-Settings-icon

Androidデバイスの 静的IPアドレスの設定方法

Android デバイスのネットワーク管理プロトコルをDHCPから 接続先の IPアドレス固定する 静的IPに変更し、Wi-Fi 接続に発生するDHCP のIP取得エラーを回避する Androidデバイス の 静的IPアドレス 設定方法