Androidデバイスのセキュリティ問題
- Android OSは Googleが開発し、デバイス製造メーカーやキャリア各社がカスタマイズする二重構造になっているため、セキュリティパッチの配信にタイムラグがある
- OSのアップデートが製造メーカーによって実施されるため、サポート期間が統一されていない
- OSのアップデートやセキュリティパッチのサポート期間が終了してもアナウンスがないため、セキュリティリスクのあるデバイスを使用し続けるユーザーが多く、OSのバージョンがフラグメント化している
セキュアな Androidの代替えOSについては LineageOS のインストールと設定 を参照。
Androidのバージョン一覧
| バージョン | コードネーム | リリース日 |
| Android 1.0 | Applepie | 2008年 9月 |
| Android 1.1 | Bananabread | 2009年 2月 |
| Android 1.5 | Cupcake | 2009年 4月 |
| Android 1.6 | Donuts | 2009年 9月 |
| Android 2.0 | Ekrea | 2009年 10月 |
| Android 2.2 | Froyo(FrozenYogurt) | 2010年 5月 |
| Android 2.3 | Gingerbread | 2010年 12月 |
| Android 3.0 | HoneyComb | 2011年 5月 |
| Android 4.0 | Ice Cream Sandwich | 2011年 10月 |
| Android 4.1 | Jelly Bean | 2012年 7月 |
| Android 4.4 | KitKat | 2013年 7月 |
| Android 5.0 | Lolipop | 2014年 7月 |
| Android 6.0 | Marshmallow | 2015年 10月 |
| Android 7.0 | Nougat | 2016年 8月 |
| Android 8.0 | Oreo | 2017年 8月 |
| Android 9.0 | Pie | 2018年 8月 |
| Android 10 | Android 10 | 2019年 9月 |
| Android 11 | Android 11 | 2020 年 9月 |
| Android 12 | Android 12 | 2021 年 9月 |
| Android 13 | Android 13 | 2022 年 8月 |
| Android 14 | Android 14 | 2023 年 10月 |
Android 9.0まではお菓子に因んだコードネームがアルファベット順で付けられていたが、バージョン 10で廃止された。
Android のサポート期間
Android OSを開発している Googleがセキュリティアップデートを提供しているのは、Googleからリリースされている Pixelなどの自社デバイスのみで、Google製デバイス(Pixel 6以降)のセキュリティアップデートはリリースから最低 5年間 保証される。
最近は 一部のベンダーで製品リリース時にOS と セキュリティパッチのサポート期間を公表するようになったが、未だアナウンスもなくセキュリティパッチの配信がフェードアウトし、脆弱性を抱えたデバイスを使用するのはユーザーの自己責任というスタンスのデバイスメーカーが多い。
| リリース日 | モデル | Android バージョンアップ | セキュリティアップデート |
| 2023年 10月 | Pixel 8 | 2030年 10月 | 2030年 10月 |
| 2022年 10月 | Pixel 7 | 2025年 10月 | 2027年 10月 |
| 2022年 7月 | Pixel 6a | 2025年 7月 | 2027年 7月 |
| 2021年 10月 | Pixel 6 | 2024年 10月 | 2026年 10月 |
| 2021年 8月 | Pixel 5a | 2024年 8月 | 2024年 8月 |
| 2020年 10月 | Pixel 5 | 2023年 10月 | 2023年 10月 |
| 2020年 8月 | Pixel 4a | 2023年 8月 | 2023年 8月 |
| 2019年 10月 | Pixel 4 | 2022年 10月 | 2022年 10月 |
| 2019年 5月 | Pixel 3a | 2022年 5月 | 2022年 5月 |
| 2018年 10月 | Pixel 3 | 2021年 10月 | 2021年 10月 |
Pixel Phone ヘルプ – Android アップデートが提供されるタイミング
三大キャリアのアップデート情報
各キャリアの製品もリリースから 3 年は セキュリティパッチを配信しているところが多く、セキュリティ面やバッテリーの劣化を考慮すると、デバイスの使用期限は製品のリリースから 3年が一つの目安になる。
アップデートの問題
Googleからは毎月セキュリティパッチが提供されているが、大手キャリアが提供しているデバイスや、SIMフリー端末のようにベンダーが直接販売しているデバイスは、各デバイス用にカスタマイズが必要なため、セキュリティパッチの提供が数ヶ月遅れになっている。
Googleが推奨しているエンタープライズ向けのデバイス要件には、常に最新の状態 として 90日以内にセキュリティパッチが提供 とあり、3ヶ月に1回 のセキュリティパッチ適用で及第点になり、デバイスによっては 3ヶ月以上セキュリティパッチが配信されていないケースもある。
Android Enterprise Recommended
Googleと同様にキャリアやデバイスベンダーがリリースから最低 3 年間のセキュリティアップデートを保証したとしても、現状のように3ヶ月に1 回程度のアップデートでは、最新バージョンの Androidを使用していてもセキュリティホールが一定期間放置されることになる。
「Android」フォンの87%で脆弱性が放置–ケンブリッジ大調査
2015年に実施されたケンブリッジ大学の調査では、Androidデバイスの 87%はセキュリティパッチがタイムリーに配信されておらず、1 件以上の深刻な脆弱性に晒されているという結果が出ている。
Googleが Androidの脆弱性を修正しても、パッチが配信されるか否かはベンダー次第というのが Androidの抱えている最も大きなセキュリティ問題。
AndroidVulnerabilities.org に掲載されているグローバルベンダー別の 2015年度パッチ配布実績のスコア。
Google製の Nexusが最高スコアで、続いて LG・ Motorola・Samsung という順位になっており、Sony・Asus・HTCなど国内でも人気のあるメーカーのスコアが低い。
※ LG は 2021年 4月 にスマートフォン事業からの撤退を発表。
Motorola(Motorola Mobility)は 2011年にGoogleが買収して 2014年にレノボ へ売却されており、レノボの 100% 子会社になってからは、セキュリティパッチの配信が 2-3ヶ月に 1度の頻度になっている。
フラグメント化の問題
Androidはオープンソースのため導入コストが安く、スマホやタブレットのほかにもテレビ・デジカメ・ミュージックプレーヤー・IoT機器などのデバイスで使用されているが、セキュリティのサポート期間が終了している多くのデバイスが放置状態にある。
2015年にリリースされた Android 6.0(Marshmallow )からセキュリティアップデートの最終適用日を確認できるようになった。
- Android 9.0 / 10 / 11 / 12/ 13
設定 → システム → 詳細設定 → システム アップデート - Android 6.0 / 7.0 / 8.0
設定 → 端末情報 → Android セキュリティパッチレベル
2021年 10月現在の Android OS 日本国内シェア
- Android 10.0:29.74%
- Android 11.0:27.34%
- Android 9.0 Pie:20.63%
- Android 8.0 Oreo:6.92%
- Android 7.0 Nougat:3.84%
- Android 6.0 Marshmallow:2.56%
- Android 8.1 Oreo:2.04%
- Android 5.1 Nougat:1.69%
- Android 7.1 Nougat:1.66%
- Android 4.4 KitKat:0.7%
セキュリティアップデートの更新が停止していると思われる Android 8.1以前のバージョンで動作しているデバイスのシェアは約 20% 、2022年度中にアップデート期限が来る Android 9.0も 20%を超えるシェアがあり、OSのバージョンがフラグメント化している。
2021年 10月現在の Windows 日本国内シェア
- Windows 10:86.55%
- Windows 7:7.15%
- Windows 8.1:4.44%
- Windows 8:1.37%
- Windows Vista:0.29%
- Windows XP:0.19%
サポート期間が終了しているのは Windows7のほか Windows 8/ Vista/ XPで、サポートが終了している OSの稼働率は 9.0% 。
Androidは提供が Googleとキャリアやデバイスベンダーという二重構造になっていることや、サポート終了が明確に告知されずにフェードアウトしていることが、OSのバージョンがフラグメント化している原因になっている。
Project Treble
Googleも Androidのフラグメント化を懸念しており、Android 8.0(Oreo)から Project Treble を実装した。
Project Treble は Androidのシステム部分とベンダー独自の実装部分を切り離すもので、ベンダーが OSをアップデートしやすい環境に改善されている。
Android One
Androidのフラグメント化とセキュリティパッチの配布遅延問題に対する1つの対策として、Googleは Android One を展開。
Android One は 2014 年にAndroidデバイスの使用率が高く バージョンのフラグメント化が進行している インド で リリースされた後 東南アジアを中心に展開。
日本では 2016年 にソフトバンクからシャープの 507SHが発売され、以降はソフトバンクと Y Mobileからシャープ/ 京セラ/ HTC のモデルが発売されていたが、2023年にリリースされたモデルは京セラのみで、海外モデルもノキアのみになるなどフェードアウト気味になっている。
Android Oneは Google体験を中心に設計されたシンプルで使いやすい Androidデバイス で、最新バージョンの Androidで出荷され、毎月のセキュリティ アップデートと OSアップグレード提供 がコンセプトの商品だったが、2017年 11月末に Y Mobileからリリースされた HTC製の Android One X2では、セキュリティパッチ 2-3ヶ月間隔で配信されるなど、当初のコンセプトから乖離した運用になっており、現在は発売から2年間に最低1回以上のOSバージョンアップと、発売から3年間のセキュリティパッチ配信が保証されるだけになった。
関連記事
Index Google Playストアの代替えアプリ非公式ストアアプリの使用リスクAuroraStoreアプリ のインストールと使い方APKMirror の使い方APKPure のインストールと使い…
Index 無料アプリのリスクデータセーフティ危険な権限収集されたデータと個人情報データ漏洩の確認 無料アプリのリスク Play ストアで提供されている多くの無料アプリは、広告の表示や収集した個人情報…
Index Google Pixel のフラッシュAndroid to Flash Tool ADBドライバのインストールUSBデバッグの有効化 / OEM ロック解除ADB サービスの停止Andro…
Index 静的IPを使用する利点静的IPアドレスの設定 – 現在接続している SSIDを編集静的IPアドレスの設定 – 新規接続時 静的IPを使用する利点 自宅の Wi-Fi…