スポンサーリンク

Android の セキュリティ問題 と サポート期間

フラグメント化が問題視される Android のセキュリティサポート

スマホ や タブレット に搭載されている Android OS は Google が開発している オープンソースの Android OS を デバイス製造メーカー や キャリア各社 が カスタマイズしており、アップデートは 製造メーカーによって実施されている。



Android のバージョン一覧

Android のバージョン 9.0 までは お菓子にちなんだ コードネームが アルファベット順で付けられていたが バージョン 10 から廃止されている。

 

バージョンコードネームリリース日
Android 1.0Applepie2008年 9月
Android 1.1Bananabread2009年 2月
Android 1.5Cupcake2009年 4月
Android 1.6Donuts2009年 9月
Android 2.0Ekrea2009年 10月
Android 2.2Froyo(FrozenYogurt)2010年 5月
Android 2.3Gingerbread2010年 12月
Android 3.0HoneyComb2011年 5月
Android 4.0Ice Cream Sandwich2011年 10月
Android 4.1Jelly Bean2012年 7月
Android 4.4KitKat2013年 7月
Android 5.0Lolipop2014年 7月
Android 6.0Marshmallow2015年 10月
Android 7.0Nougat2016年 8月
Android 8.0Oreo2017年 8月
Android 9.0Pie2018年 8月
Android 10Android 102019年 9月
Android 11Android 112020 年9月
Android 12Android 122021 年9月
バージョン 1.0 と 2.0 は 非公開 のため Applepie と Bananabread については公式ではなく、バージョン 1.5 の Cupcake からアナウンス されている。

Android の サポート期間

Microsoft が Windows のサポート期間を公表しているのに対し、Google や Apple は OS のサポート期間を 非公開にしているが、2015年 1月 アプリ 研究者が Google に問い合わせて Android 4.3 までのサポート打ち切り が発覚して 話題になったことがある。

Google、古いAndroidのサポート終了か

当時は 2014年 7月に Android 5.0 がリリースされたばかりで、ITmedia の記事では 9 億台 のデバイスで 脆弱性が放置されると煽っているが、問題の本質は OS のサポート打ち切りではなく ユーザーが使用している デバイス へ アップデートを配信する ベンダー と ユーザーのセキュリティリテラシー にある。

国内三大キャリアで Android の サポート期限を表記しているところはなく、アナウンスもなく セキュリティパッチの配信が終わり、脆弱性を抱えたデバイスを使用するのは 自己責任 というのが キャリア と デバイスベンダー の現状。
Google 製 デバイス の サポート期間
開発元の Google が 直接 セキュリティアップデートを提供しているのは、Google からリリースされている Nexus や Pixel などのデバイスのみで  Google 製 デバイスに関しては OS のバージョンアップ と セキュリティアップデートを リリースから最低 3 年間 保証している。

Pixel Phone ヘルプ – Android アップデートが提供されるタイミング

リリース日モデルAndroid バージョンアップセキュリティアップデート
2021年 10月Pixel 62024年 10月2026年 10月
2021年 8月Pixel 5a2024年 8月2024年 8月
2020年 10月Pixel 52023年 10月2023年 10月
2020年 8月Pixel 4a2023年 8月2023年 8月
2019年 10月Pixel 42022年 10月2022年 10月
2019年 5月Pixel 3a2022年 5月2022年 5月
2018年 10月Pixel 32021年 10月2021年 10月
Pixel 3 / Pixel 2 と 2016年度版 Pixel の セキュリティ アップデート 提供期間は Google ストア での デバイス 販売終了日 から 最低 18 か月間。
各キャリアの製品も おおよそリリースから 3 年くらいは セキュリティパッチを配信しているところが多いようなので、セキュリティ的な観点からすると デバイスの寿命は 製品のリリースから 3年が一つの目安ということになる。

アップデートの問題

Windows や iOS などと同じく Android にも多くのセキュリティホールがあり、Google からは 毎月セキュリティパッチが提供されているが、大手キャリアが提供しているデバイス や SIM フリー端末のようにベンダーが直接販売しているデバイスは、各デバイス用にカスタマイズが必要なためセキュリティパッチの提供が数ヶ月遅れになっている。

android-securitu-issues-003

Googleが推奨しているエンタープライズ向けのデバイス要件には  常に最新の状態 として 90日以内にセキュリティパッチが提供 とあり、3ヶ月に 1回 のセキュリティパッチ適用 で 一応は及第点で、3ヶ月以上セキュリティパッチが配信されていないデバイスも多い。
Android Enterprise Recommended
Google と同様に キャリア や デバイスベンダーが リリースから 最低 3 年間のセキュリティアップデートを保証したとしても、現状のように 3ヶ月に 1 回程度のアップデートでは 仮に最新バージョンの Android を使用していても セキュリティホール が放置されることになる。

android-securitu-issues-002

「Android」フォンの87%で脆弱性が放置–ケンブリッジ大調査

2015 年に実施された ケンブリッジ大学の調査では、Androidデバイスの 87% は セキュリティパッチがタイムリーに配信されておらず 1 件以上の深刻な脆弱性に晒されているという結果が出ている。

Google が Android の脆弱性を修正しても パッチが供給されるか 否か はベンダー次第というのが Android の抱えている最も大きなセキュリティ問題。

android-securitu-issues-003

AndroidVulnerabilities.org に掲載されている グローバル ベンダー別の 2015年度 パッチ配布実績のスコア。

Google 謹製デバイス Nexus が当然ながら最高スコアで、続いて LG , Motorola , Samsung という順位になっており Sony や Asus  , HTC など国内でも人気のあるメーカーのスコアが低い。
Motorola ( Motorola Mobility )は 2011年に Google が買収し 2014年にレノボ へ売却されており、レノボ の 100% 子会社になってから セキュリティパッチの配信は 2 ~ 3ヶ月に 1 度 の頻度になっている。  
LG は 2021年 4月 に スマートフォン事業からの撤退を発表。

フラグメント化の問題

Android はオープンソースのため 導入コストが安く、スマホ や タブレットのほかにも テレビ や デジカメ・ミュージックプレーヤー ・IoT 機器 など 様々デバイスで使用されているが、セキュリティの サポート期間が終了している 多くのデバイスが放置状態にある。

android-securitu-issues-001

2015 年にリリースされた Android 6.0 ( Marshmallow  ) から セキュリティアップデートの最終適用日を確認できるようになった。

Android 9.0 / 10 / 11
 設定 → システム → 詳細設定 → システム アップデート
Android 6.0 / 7.0 / 8.0
設定 → 端末情報 → Android セキュリティパッチレベル

Source: StatCounter Global Stats – Android Version Market Share

Google は 2008 年の Android 1.0 から 毎年 バージョンアップ を行っており 2021 年 に Android 12 がリリースされたが、StatCounter のデータでは 2021年 10月 現在 で日本国内の各シェアは 以下の通り。

  1. Android 10.0 : 29.74%
  2. Android 11.0 : 27.34%
  3. Android 9.0 Pie : 20.63%
  4. Android 8.0 Oreo : 6.92%
  5. Android 7.0 Nougat : 3.84%
  6. Android 6.0 Marshmallow : 2.56%
  7. Android 8.1 Oreo : 2.04%
  8. Android 5.1 Nougat : 1.69%
  9. Android 7.1 Nougat : 1.66%
  10. Android 4.4 KitKat : 0.7%
セキュリティアップデートの更新が停止していると思われる Android 8.1 以前のバージョンで動作しているデバイスのシェアは 約 20 % 、2022年度中に アップデート期限が来る Android 9.0 も 20% を超えるシェアがあり フラグメント化している。

2021年 10月 現在 Windows の 日本国内 シェア は以下の通り。

  1. Windows 10 : 86.55%
  2. Windows 7 : 7.15%
  3. Windows 8.1 : 4.44%
  4. Windows 8 : 1.37%
  5. Windows Vista : 0.29%
  6. Windows XP : 0.19%

サポート期間が終了しているのは  Widnows7 のほか Windows 8 / Vista / XP で サポートが終了している OS の稼働率は 9.0 % 。

Android は 提供が Google と キャリアや デバイスベンダーという二重構造になっていること や サポート終了が明確に告知されず フェードアウトしていることも バージョンが フラグメント化 している原因になっている。

総務省の施策により デバイスの 実質 0 円 販売が事実上禁止され、デバイスの買い替え周期が遅くなったことも フラグメント化に拍車をかける結果になっている。

Project Treble

Google も Android のフラグメント化 を 懸念しており Android 8.0 ( Oreo ) から Project Treble を実装した。

Android Security Issues 004

Project Treble は Android の システム部分 と ベンダー独自の実装部分を切り離すもので、ベンダーが OS をアップデートしやすい環境に改善されている。

Android One

Google は Androidの フラグメント化 と セキュリティパッチの配布遅延問題に対する1つの対策として Android One を展開。

x2-securitypatch

Android One

Android Oneは「 Google 体験を中心に設計されたシンプルで使いやすい Androidデバイス 」で「 最新バージョンの Android で出荷され 毎月のセキュリティ アップデートと OS アップグレード提供 」がコンセプトにある。
Android One は 2014 年に Androidデバイスの使用率が高く バージョンのフラグメント化が進行している インド で リリースされ後 東南アジアを中心に展開。
日本では 2016年 にソフトバンクから シャープ の 507SH が発売され 以降 ソフトバンクと Y Mobile  から シャープ / 京セラ / HTC のモデルが発売されている。

アップデートの現状

Android のフラグメント化 を解消するために実装された Project Treble だが、 現在も 大きな改善は見られず  最新バージョンの Android で出荷され 毎月のセキュリティ アップデートと OS アップグレード提供 を コンセプトにしている Android One も同じ状況にある。

android-securitu-issues 4

2017 年 11 月末に Y Mobile からリリースされた HTC 製の Android One X2 は セキュリティパッチの配信が遅く、2018年 6月18日 現在 で セキュリティパッチレベル が  4月 1日 になっているなど 2 ~ 3ヶ月間隔で配信されており、最早 Android One の名を冠する資格がない 普通の Android デバイスに成り下がり、2020年 10月 の セキュリティアップデート を最後に 更新が停止した。

android-security-issues-02

Google 製の Pixel 4 は Android 11.0 にアップデート済みで 最新のセキュリティパッチ が配信されている。

デバイスを長く使用するなら スペック や 価格だけでデバイスを選択するのではなく、ベンダーのセキュリティパッチ供給状況 や Android のバージョン、機種のリリース日などを含めた検討が重要。
三大キャリアのアップデート情報ページ

NTTドコモ 製品アップデート情報
au 製品アップデート情報
SoftBank 製品アップデート情報

Lineage OS と /e/OS

Android デバイス の セキュリティ や サポート期間 の問題 と Google の情報収集、デバイスベンダーによるバックドアの懸念などを 解決する手段として Lineage OS や /e/OS の導入がある。

利用できるデバイス や 一部のアプリが利用できないなどの制限はあるが アップデート配信が頻度が高く ベンダーによるサポート期限が終了している デバイスも 最新の環境で利用可能になる。
lineageos-icon-1

LineageOS のインストール

Essential Phone や Google Nexus6 など サポート切れの Android デバイスをリユース LineageOS は Android をベースにした オープンソースの モバイルデバイス用 OS […]

e-os-icon

/e/OS のインストール

Android から Googleの監視 を排除した オープンソースの 脱Google OS /e/OS は オープンソースの モバイルデバイス用 OS「 LineageOS 」のフォークで 非営利プロジェクト「 e F […]

関連記事

android-icon

Android の セキュリティ問題 と サポート期間

フラグメント化が問題視される Android のセキュリティサポート スマホ や タブレット に搭載されている Android OS は Google が開発している オープンソースの Android OS を デバイス […]

dvd-shrink0011

携帯電話の通信規格と周波数帯の基礎知識

スマートフォンの通信規格 と 周波数帯 次世代通信規格 5G では 電波が弱まった際に 4G への切り替えが うまく行かず、デバイスが 5G の電波を探し続けて 通信が停止状態になる パケ止まり が問題になっているが、通 […]

dvd-shrink0011

電波法に抵触する 輸入スマホ

電波法違反の可能性がある海外スマホの利用 SIM フリースマホを購入する際 MVNO で SIM とセット販売されているようなモデル や 家電量販店で販売されているモデルは 日本仕様になっているので 国内での利用に問題は […]





タイトルとURLをコピーしました