Androidのセキュリティ問題とサポート期間

Android-Security-icon

Androidデバイスのセキュリティ問題

  • Android OSは Googleが開発し、デバイス製造メーカーやキャリア各社がカスタマイズする二重構造になっているため、セキュリティパッチの配信にタイムラグがある
  • OSのアップデートが製造メーカーによって実施されるため、サポート期間が統一されていない
  • OSのアップデートやセキュリティパッチのサポート期間が終了してもアナウンスがないため、セキュリティリスクのあるデバイスを使用し続けるユーザーが多く、OSのバージョンがフラグメント化している
Googleや Apple は OSのサポート期間を非公開にしている。

セキュアな Androidの代替えOSについては LineageOS のインストールと設定 を参照。

Androidのバージョン一覧

バージョンコードネームリリース日
Android 1.0Applepie2008年 9月
Android 1.1Bananabread2009年 2月
Android 1.5Cupcake2009年 4月
Android 1.6Donuts2009年 9月
Android 2.0Ekrea2009年 10月
Android 2.2Froyo(FrozenYogurt)2010年 5月
Android 2.3Gingerbread2010年 12月
Android 3.0HoneyComb2011年 5月
Android 4.0Ice Cream Sandwich2011年 10月
Android 4.1Jelly Bean2012年 7月
Android 4.4KitKat2013年 7月
Android 5.0Lolipop2014年 7月
Android 6.0Marshmallow2015年 10月
Android 7.0Nougat2016年 8月
Android 8.0Oreo2017年 8月
Android 9.0Pie2018年 8月
Android 10Android 102019年 9月
Android 11Android 112020 年 9月
Android 12Android 122021 年 9月
Android 13Android 132022 年 8月
Android 14Android 142023 年 10月

Android 9.0まではお菓子に因んだコードネームがアルファベット順で付けられていたが、バージョン 10で廃止された。

バージョン 1.0 と 2.0 は 非公開 のため ApplepieBananabread については公式のアナウンスはなく、バージョン 1.5 の Cupcake からアナウンス されている。

Android のサポート期間

Android OSを開発している Googleがセキュリティアップデートを提供しているのは、Googleからリリースされている Pixelなどの自社デバイスのみで、Google製デバイス(Pixel 6以降)のセキュリティアップデートはリリースから最低 5年間 保証される。

Pixel 8のセキュリティアップデートは 7年に延長。

最近は 一部のベンダーで製品リリース時にOS と セキュリティパッチのサポート期間を公表するようになったが、未だアナウンスもなくセキュリティパッチの配信がフェードアウトし、脆弱性を抱えたデバイスを使用するのはユーザーの自己責任というスタンスのデバイスメーカーが多い。

リリース日モデルAndroid バージョンアップセキュリティアップデート
2023年 10月Pixel 82030年 10月2030年 10月
2022年 10月Pixel 72025年 10月2027年 10月
2022年 7月Pixel 6a2025年 7月2027年 7月
2021年 10月Pixel 62024年 10月2026年 10月
2021年 8月Pixel 5a2024年 8月2024年 8月
2020年 10月Pixel 52023年 10月2023年 10月
2020年 8月Pixel 4a2023年 8月2023年 8月
2019年 10月Pixel 42022年 10月2022年 10月
2019年 5月Pixel 3a2022年 5月2022年 5月
2018年 10月Pixel 32021年 10月2021年 10月

Pixel Phone ヘルプ – Android アップデートが提供されるタイミング

三大キャリアのアップデート情報

各キャリアの製品もリリースから 3 年は セキュリティパッチを配信しているところが多く、セキュリティ面やバッテリーの劣化を考慮すると、デバイスの使用期限は製品のリリースから 3年が一つの目安になる。

アップデートの問題

Googleからは毎月セキュリティパッチが提供されているが、大手キャリアが提供しているデバイスや、SIMフリー端末のようにベンダーが直接販売しているデバイスは、各デバイス用にカスタマイズが必要なため、セキュリティパッチの提供が数ヶ月遅れになっている。

android-securitu-issues-003

Googleが推奨しているエンタープライズ向けのデバイス要件には、常に最新の状態 として 90日以内にセキュリティパッチが提供 とあり、3ヶ月に1回 のセキュリティパッチ適用で及第点になり、デバイスによっては 3ヶ月以上セキュリティパッチが配信されていないケースもある。
Android Enterprise Recommended

現在は 90日以内 という表記はなく、適切なタイミング と曖昧な表現になっている。

Googleと同様にキャリアやデバイスベンダーがリリースから最低 3 年間のセキュリティアップデートを保証したとしても、現状のように3ヶ月に1 回程度のアップデートでは、最新バージョンの Androidを使用していてもセキュリティホールが一定期間放置されることになる。

android-securitu-issues-002

「Android」フォンの87%で脆弱性が放置–ケンブリッジ大調査

2015年に実施されたケンブリッジ大学の調査では、Androidデバイスの 87%はセキュリティパッチがタイムリーに配信されておらず、1 件以上の深刻な脆弱性に晒されているという結果が出ている。

Googleが Androidの脆弱性を修正しても、パッチが配信されるか否かはベンダー次第というのが Androidの抱えている最も大きなセキュリティ問題。

android-securitu-issues-003

AndroidVulnerabilities.org に掲載されているグローバルベンダー別の 2015年度パッチ配布実績のスコア。

Google製の Nexusが最高スコアで、続いて LG・ Motorola・Samsung という順位になっており、Sony・Asus・HTCなど国内でも人気のあるメーカーのスコアが低い。
※ LG は 2021年 4月 にスマートフォン事業からの撤退を発表。  

Motorola(Motorola Mobility)は 2011年にGoogleが買収して 2014年にレノボ へ売却されており、レノボの 100% 子会社になってからは、セキュリティパッチの配信が 2-3ヶ月に 1度の頻度になっている。

フラグメント化の問題

Androidはオープンソースのため導入コストが安く、スマホやタブレットのほかにもテレビ・デジカメ・ミュージックプレーヤー・IoT機器などのデバイスで使用されているが、セキュリティのサポート期間が終了している多くのデバイスが放置状態にある。

android-securitu-issues-001

2015年にリリースされた Android 6.0(Marshmallow )からセキュリティアップデートの最終適用日を確認できるようになった。

  • Android 9.0 / 10 / 11 / 12/ 13
     設定 → システム → 詳細設定 → システム アップデート
  • Android 6.0 / 7.0 / 8.0
    設定 → 端末情報 → Android セキュリティパッチレベル

StatCounter-android_version-JP-monthly-202011-202110

StatCounter

2021年 10月現在の Android OS 日本国内シェア
  1. Android 10.0:29.74%
  2. Android 11.0:27.34%
  3. Android 9.0 Pie:20.63%
  4. Android 8.0 Oreo:6.92%
  5. Android 7.0 Nougat:3.84%
  6. Android 6.0 Marshmallow:2.56%
  7. Android 8.1 Oreo:2.04%
  8. Android 5.1 Nougat:1.69%
  9. Android 7.1 Nougat:1.66%
  10. Android 4.4 KitKat:0.7%

セキュリティアップデートの更新が停止していると思われる Android 8.1以前のバージョンで動作しているデバイスのシェアは約 20% 、2022年度中にアップデート期限が来る Android 9.0も 20%を超えるシェアがあり、OSのバージョンがフラグメント化している。

2021年 10月現在の Windows 日本国内シェア
  1. Windows 10:86.55%
  2. Windows 7:7.15%
  3. Windows 8.1:4.44%
  4. Windows 8:1.37%
  5. Windows Vista:0.29%
  6. Windows XP:0.19%

サポート期間が終了しているのは Windows7のほか Windows 8/ Vista/ XPで、サポートが終了している OSの稼働率は 9.0% 。

Androidは提供が Googleとキャリアやデバイスベンダーという二重構造になっていることや、サポート終了が明確に告知されずにフェードアウトしていることが、OSのバージョンがフラグメント化している原因になっている。

総務省の施策によりデバイスの実質 0円販売が事実上禁止され、デバイスの買い替え周期が遅くなったこともフラグメント化に拍車をかける結果になっている。

Project Treble

Googleも Androidのフラグメント化を懸念しており、Android 8.0(Oreo)から Project Treble を実装した。

Android Security Issues 004

Project Treble は Androidのシステム部分とベンダー独自の実装部分を切り離すもので、ベンダーが OSをアップデートしやすい環境に改善されている。

Android One

Androidのフラグメント化とセキュリティパッチの配布遅延問題に対する1つの対策として、Googleは Android One を展開。

Android One は 2014 年にAndroidデバイスの使用率が高く バージョンのフラグメント化が進行している インド で リリースされた後 東南アジアを中心に展開。
日本では 2016年 にソフトバンクからシャープの 507SHが発売され、以降はソフトバンクと Y Mobileからシャープ/ 京セラ/ HTC のモデルが発売されていたが、2023年にリリースされたモデルは京セラのみで、海外モデルもノキアのみになるなどフェードアウト気味になっている。

x2-securitypatch

Android One

Android OneGoogle体験を中心に設計されたシンプルで使いやすい Androidデバイス で、最新バージョンの Androidで出荷され、毎月のセキュリティ アップデートと OSアップグレード提供 がコンセプトの商品だったが、2017年 11月末に Y Mobileからリリースされた HTC製の Android One X2では、セキュリティパッチ 2-3ヶ月間隔で配信されるなど、当初のコンセプトから乖離した運用になっており、現在は発売から2年間に最低1回以上のOSバージョンアップと、発売から3年間のセキュリティパッチ配信が保証されるだけになった。

デバイスを長く使用するなら スペックや価格だけでデバイスを選択するのではなく、ベンダーのセキュリティパッチ供給状況やAndroid のバージョン、機種のリリース日などを含めた検討が重要。
関連記事
Android-Store-icon

Google Playストア の代替えストアアプリ

Index Google Playストアの代替えアプリ非公式ストアアプリの使用リスクAuroraStoreアプリ のインストールと使い方APKMirror の使い方APKPure のインストールと使い…

Android-privacy-icon

Androidアプリのデータ収集とプライバシー

Index 無料アプリのリスクデータセーフティ危険な権限収集されたデータと個人情報データ漏洩の確認 無料アプリのリスク Play ストアで提供されている多くの無料アプリは、広告の表示や収集した個人情報…

Android-Tools-icon

Android to Flash Tool の 使用手順

Index Google Pixel のフラッシュAndroid to Flash Tool ADBドライバのインストールUSBデバッグの有効化 / OEM ロック解除ADB サービスの停止Andro…