Android Security Issues – Androidのセキュリティ問題とサポート期間

スポンサーリンク
android-icon

フラグメント化が問題視される Android のセキュリティサポート

Google が開発している Android OS はオープンソースで提供されているので、スマホやタブレットに搭載されているAndroid OS は デバイスの製造メーカーやキャリア各社がカスタマイズしており、アップデートは製造メーカーによって実施されている。



フラグメント化の問題

Android はオープンソースのため導入コストが安く、スマホやタブレットのほかにも テレビ や デジカメ , ミュージックプレーヤー , IoT 機器 など様々デバイスで使用されているが、セキュリティサポート期間が終了している多くのデバイスが放置状態にある。

開発元の Google が 直接 セキュリティアップデートを提供しているのは、Google からリリースされている Nexus や Pixel などのデバイスのみで、 Google 謹製 デバイスに関しては「 OS のバージョンアップをリリースから最低2年間」「セキュリティアップデートはリリースから最低 3 年間」が保証されており、各キャリアの製品もおおよそリリースから 3 年くらいはセキュリティパッチを配信しているところが多いようなので、セキュリティ的な観点からするとデバイスの寿命は製品のリリースから 3年が一つの目安ということになる。

android-securitu-issues-001

2015 年にリリースされた Android 6.0( Marshmallow )から、セキュリティアップデートの最終適用日を確認できるようになった。
Android 6.0 / 7.0 / 8.0 では「 設定 」→「 端末情報 」→「 Android セキュリティパッチレベル 」。
Android 9.0 / 10 では「 設定 」→「 システム 」→「 詳細設定 」→「 システム アップデート 」。
※機種によって異なります。


Source: StatCounter Global Stats – Android Version Market Share

Google は 2008 年の Android 1.0 から 毎年 バージョンアップ を行っており、2019 年 に Android 10 がリリースされたが、StatCounter のデータでは 2020年1月現在で日本国内の各シェアは 以下の通り。

  1. Android 9.0 Pie : 44.93%
  2. Android 8.0 Oreo : 14.46%
  3. Android 7.0 Nougat : 8.86%
  4. Android 6.0 Marshmallow : 7.86%
  5. Android 10.0 : 6.86%
  6. Android 8.1 Oreo : 4.13%
  7. Android 7.1 Oreo : 3.71%
  8. Android 5.1 Lollipop : 3.71%
  9. Android 4.4 KitKat : 2.48%
  10. Android 5.0 Lollipop : 2.11%

Android 10 のシェアが低いのは リリースされているデバイスが少ないからだが、サポートが終了している 2016 年 にリリースされた Android 7.0 以前のバージョンを実装したデバイスのシェアは 28.73 % もあり、実に国内の3割近いAndroid デバイスが大きなセキュリティリスクに晒されていることになる。

参考のため Windows の 2020年1月現在で日本国内の各シェア は以下の通り。

  1. Windows 10 : 76.55%
  2. Windows 7 : 15.7%
  3. Windows 8.1 : 5.6%
  4. Windows 8 : 1.17%
  5. Windows XP : 0.54%
  6. Windows Vista : 0.42%

サポート期間が終了しているのは 2020年1月14日に終了したばかりの Widnows7 のほか、Windows 8 / Vista / XP で、Widnows7 を除くと わずか 2.13 % しかない。

Windows は Microsoft が積極的に バージョンアップを促していることもあり、サポート終了がしっかりと告知されている一方、Android は 提供が Google と キャリアやデバイスベンダーという二重構造になっていることもあり、サポート終了が明確に告知されず フェードアウトしていることも、バージョンがフラグメント化している原因になっている。
また、総務省の施策により デバイスの 実質 0 円 販売が事実上禁止され、デバイスの買い替え周期が遅くなったこと、そして何よりユーザーがセキュリティに無関心なことが問題だったりする。

セキュリティアップデートの問題

Windows や iOS などと同じく Android にも多くのセキュリティホールがあり、Google からは 毎月セキュリティパッチが提供されているが、大手キャリアが提供しているデバイスや SIM フリー端末のようにベンダーが直接販売しているデバイスは、各デバイス用にカスタマイズが必要なためセキュリティパッチの提供が数ヶ月遅れになっている。

Googleが推奨しているエンタープライズ向けのデバイス要件には 「 常に最新の状態 」として「 90日以内にセキュリティパッチが提供 」とあり、3ヶ月に1回のセキュリティパッチ適用で一応は及第点で、3ヶ月以上セキュリティパッチが配信されていないデバイスも多い。

android-securitu-issues-003

Android Enterprise Recommended link

Microsoft が Windows のサポート期間を公表しているのに対し、Google や Apple はサポート期間を非公開にしており、いつまでサポートされるのか分からない。

また、Google と同様に キャリア や デバイスベンダーが リリースから 最低 3 年間のセキュリティアップデートを保証したとしても、現状のように 3ヶ月に1回程度のアップデートでは 仮に最新バージョンの Android を使用していても セキュリティホール が放置されることになる。

android-securitu-issues-002

「Android」フォンの87%で脆弱性が放置–ケンブリッジ大調査 link

2015 年に実施された ケンブリッジ大学の調査では、Androidデバイスの87%は セキュリティパッチがタイムリーに配信されておらず、1件以上の深刻な脆弱性に晒されているという結果が出ている。

セキュリティホールは Android だけでなく iOS にも Windows にも存在するが、 Google が Android の脆弱性を修正しても、そのパッチが供給されるか否かはベンダー次第というのが Android の抱えている最も大きなセキュリティ問題。

android-securitu-issues-003

AndroidVulnerabilities.org link に掲載されている グローバル ベンダー別の 2015年度 パッチ配布実績のスコア。

Google 謹製デバイス Nexus が当然ながら最高スコアで、続いて LG , Motorola , Samsung という順位になっており、Sony や Asus  , HTC など国内でも人気のあるメーカーのスコアが低かったりする。

日本のセキュリティリテラシーは低いと言われているが、サポート終了時のアナウンスもなく、いつの間にかセキュリティパッチの供給が終わり、それを確認せずに使用しているのは自己責任という現状は さすがに微妙。

Android One

Google は Androidの フラグメント化 と セキュリティパッチの配布遅延問題に対する1つの対策として Android One を展開。

x2-securitypatch

Android Onelink

Android Oneは「Google 体験を中心に設計されたシンプルで使いやすい Androidデバイス 」で、「最新バージョンの Android で出荷され、毎月のセキュリティ アップデートと OS アップグレード提供」がコンセプトにある。

Android One は Androidデバイスの使用率が高く、バージョンのフラグメント化が進行している インド で 2014年にリリースされ、その後 東南アジアを中心に展開。
日本では 2016年にソフトバンクから シャープ の 507SH が発売され、以降 ソフトバンクと Y Mobile  から シャープ / 京セラ / HTC のモデルが発売されている。

Project Treble

Google も セキュリティパッチの配布については懸念しており、Android のセキュリティ問題を改善すべく Android 8.0( Oreo )から「Project Treble」を実装した。

Android Security Issues 004

「Project Treble」は Androidの システム部分と ベンダー独自の実装部分を切り離すもので、ベンダーは OS をアップデートしやすい環境に改善された。

が、あくまでアップデートはベンダー側の采配。

それは 「最新バージョンの Android で出荷され、毎月のセキュリティ アップデートと OS アップグレード提供」をコンセプトにする Android One も同じ。

android-securitu-issues 4

2017 年 11 月末にリリースされた HTC 製の Android One「X2」など 酷いもので 2018年 6月18日 現在 で セキュリティパッチレベル が  4月1日のまま。

android-securitu-issues-001

Google謹製デバイスと同等のサポートを提供しているのは、 Android One ではなく 2017年8月にリリースされた Essential の PH-1で、セキュリティパッチは確実に毎月配布されている。

2020年2月現在、Essential の PH-1 は Android 10 でセキュリティパッチは最新。
ただ、Essential Products は 2020年2月20日に廃業したため、以降のセキュリティパッチは配信されない。

PH-1 よりも後にリリースされた HTC  Android One X2 は Android 9.0 でセキュリティパッチは 2019年12月1日 で止まったまま。
Y Mobile が悪いのか HTC に責があるのか、いずれにしても Y Mobile から販売されている HTC の Android One は 最早 Android One の名を冠する資格がない。

デバイスを長く使用するなら スペックや価格だけでデバイスを選択するのではなく、ベンダーのセキュリティパッチ供給状況や Android のバージョン、機種のリリース日などを含めた検討が重要だったりする。

三大キャリアのアップデート情報ページ

NTTドコモ 製品アップデート情報link

au 製品アップデート情報link

SoftBank 製品アップデート情報link

セキュリティアプリ

Android そのもののセキュリティ問題とは異なるが、Google Play ストア で公開されている セキュリティアプリ にも大きな問題がある。

AV-Comparatives が2019年3月に発表した「 Android Test 2019 – 250 Apps 」では、テストされた250のセキュリティアプリのうち、マルウェアの検出率 100% のアプリは1割に満たないことが判明した。

android-icon

Android セキュリティアプリの信頼性

信頼性の高いセキュリティアプリと使ってはいけないアプリ セキュリティアプリのテストを行う独立組織「 AV-Comparatives 」が2019年3月に発表した「 Android Test 2019 – 250 Apps […]

検出率が 30 %以下 の「自称 セキュリティアプリ 」は Google Play ストアのテストに合格するため、ごく一部の古いマルウェアのサンプルにしか対応しておらず、働いているフリをして 個人情報を収集し、広告収入を得ることが目的の マルウェアに近い存在になる。

Android Security App 019

使い物にならない 自称 セキュリティアプリには 日本でお馴染みで、なぜだか高評価の「 LINE アンチウイルス 」も含まれている。

野良アプリならともかく、Google Play ストアという公式サイトで公開されているアプリであれば「安全」だと思いがちだが、セキュリティアプリ や システムの最適化アプリ、ファイルマネージャー など、アプリの性質的に多くの権限を要求するものは、個人情報の収集を目的にしたものや広告収入目的で実質的に機能していないアプリが多く、Google も摘発しているものの LINE アンチウイルスのように「 基準値クリアしているものの実質的には役に立たない」ものは摘発できない。

個人情報へのアクセスと広告表示を承知の上、ジョークアプリとしてインストールしているのであれば良いのだが、「 LINE アンチウイルス 」のような セキュリティアプリとして ほぼ機能しないアプリでセキュリティ対策をしている気になるのは セキュリティリスクが高い。

AV-Comparatives が指摘している通り、セキュリティアプリは セキュリティベンダーとして しっかりとした実績のある企業が提供しているアプリを使用するのがベター。

sopgos-intercept-icon

Sophos Intercept X for Mobile のインストールと使い方

マルウェア検出率が高い無料の Android セキュリティアプリ Sophos Intercept X for Mobileは イギリスのセキュリティベンダー「 Sophos ( ソフォス )」が開発している無料のセキュ […]

 





関連記事

android-icon

Android Security Issues – Androidのセキュリティ問題とサポート期間

フラグメント化が問題視される Android のセキュリティサポート Google が開発している Android OS はオープンソースで提供されているので、スマホやタブレットに搭載されているAndroid OS は […]

dvd-shrink0011

Radio Law and Tech Mark – 電波法に抵触する輸入スマホ

電波法違反の可能性がある海外スマホの利用 SIM フリースマホを購入する際 MVNO で SIM とセット販売されているようなモデル や 家電量販店で販売されているモデルは 日本仕様になっているので 国内での利用に問題は […]

dvd-shrink0011

携帯電話の通信規格と周波数帯の基礎知識

スマートフォンの通信規格と周波数帯 SIMフリーのスマートフォンを購入する際、まず確認が必要なのが使用しているSIMに対応しているか否か。 3GとかLTEとか、それが回線を意味していることくらいは分かっても、普通に使用す […]

android-icon

Androidデバイス購入時の注意点

スマホのデータを保護するために重要なセキュリティアップデート Androidのバージョンにはお菓子にちなんだコードネームがアルファベット順で付けられている。 バージョン1.0と2.0は非公開なので、ApplepieとBa […]

android-icon

Androidアプリのアクセス権限と個人情報

プライバシーの保護で重要なAndroidアプリのアクセス権限 Androidは利用者が多いだけに、悪意のある攻撃者から標的にされやすく、Googleプレイストアで公開されているアプリでさえ、マルウェアが紛れていたりする。 […]