Androidスマホの87%は保護が甘い:ケンブリッジ大の調査

Androidデバイスの脆弱性はかねてから指摘されていますが、ケンブリッジ大学の研究者がメーカー別のセキュリティレベルを算出しました。

android-insecure-featured

Androidデバイスは、利用者と利用者のデータにとって非常に危険であることが、英国の科学者たちの手によって明らかになりました。決して冗談などではありません。ケンブリッジ大学の研究者がAndroidデバイスを本格的に調査し(英語記事)、メーカー各社のスマートフォン20,000台以上を分析したところ、Androidデバイスの87.7%が、少なくとも1件の深刻な脆弱性の影響を受けることが判明しました。

この恐ろしい事実は、誰の(どのメーカーの)デバイスが一番安全かを詳しく調べる中で、偶然判明しました。

研究には一般の人が協力し、自らが所有するごく普通のスマートフォンを使って実施されました。参加者は、Device Analyzerという特殊なアプリをGoogle Playからダウンロードしてセットアップすることに同意した人たちです。このアプリを使って、デバイスにインストールされたソフトウェアのバージョンに関するデータを送信してもらえば、広く蔓延している攻撃にデバイスがどの程度耐えられるかを調べることができます。

調査の対象はすべての脆弱性ではなく、完全にワイヤレスでエクスプロイトできるものだけです。公平な結果になるよう、重大な脆弱性32件のうち、調査対象の全デバイスに影響する11件だけが使用されました。

vulneruble-android-chart

ところで、なぜメーカーによってセキュリティのレベルに差が出るのでしょうか?まず、OSのバージョンが最新かどうかで変わってきます。GoogleやLinux FoundationなどAndroid開発に関わる組織は、定期的にアップデートをリリースしていて、その中には既知の脆弱性に対するセキュリティパッチが含まれています。

問題は、大半のAndroidデバイスでアップデートの配信が遅れており、本来あるべき頻度でアップデートされていないことです。OTAアップデートを送信するのはGoogleではなく、OEMベンダーの通信事業者の仕事です。どれだけ早く配信されるかは、ベンダーの意向次第。つまり、「あまり早くない」のです。

どのメーカーも2年間のサポートプランを保証していますが、ほとんどのデバイスはライフサイクルの終了が近づくとアップデートが配信されなくなります(場合によってはライフサイクルの中ごろに)。なので、旧式の(永遠にパッチが適用されない)Androidを搭載するモデルは見捨てられてしまい、その数はベンダーによってまちまちです。

Androidベンダー各社のセキュリティレベルを数値化するため、ケンブリッジ大学の研究者グループはFUMという指標を導入しました。この略語には以下のような意味があります:

  • F(free:なし) — テストで深刻な脆弱性の影響を受けなかったデバイスの割合
  • U(update:アップデート) — 各ベンダーのデバイスで最新バージョンのAndroidが使用されている割合
  • M(mean:平均) — 各ベンダーのスマートフォンに存在するパッチ未適用の脆弱性の平均数

この3つの値を正規化して合計したのがFUM指標であり、値は1~10の範囲です。この値からベンダーのセキュリティレベルを評価します。

2011年7月から2015年までのわずか4年間で、全Androidデバイスの平均FUM値は大幅に下がりました。最高値10に対し、2.87です。一番安全なスマートフォンは、案の定Google Nexusでした。それはそうでしょう。Googleは自社のデバイスに適用するパッチを作成しているのですから。

NexusデバイスのFUM値は5.17でした。それでも10にはまだまだ届きません。残念ながら、Nexusにもすぐにアップデートが配信されるわけではなく、OTAアップデートの配信には2週間もかかることがあり、その間は安全でない状態が続いている可能性があります。

他のスマートフォンベンダーはどうかというと、上位に入ったのはLG(FUM 3.97)で、これにMotorola(3.07)、Samsung(2.75)、Sony(2.63)、HTC(2.63)、ASUS(2.35)が続きます。

安全性が低いとされたのは、Symphony(0.30)やWalton(0.27)など、B級品のノーブランドのデバイスでした。中国製のほとんどのノーブランド製品も、同じくらいFUM値が低いと考えた方がいいでしょう。

この研究で少し気になるのは、Huawei、Lenovo、Xiaomiのスマートフォンが意図的に除外されていることです。IDCの統計によれば(英語記事)、世界のAndroidスマートフォン売上高で、それぞれ2位、3位、4位のブランドなのですが。

こういったことを考えると、100%公平無比な研究とは言えませんが、だからといって価値が損われるわけでもありません。この研究によってAndroidエコシステムのセキュリティの全体像(それも悲観的な)が明らかになり、情報セキュリティ分野に共通する弱点に一定の関心が集まりました。

Androidが深刻なまでに脆弱なシステムであることは否めません。GoogleがこのOSと配信モデルを抜本的に見直し、どのベンダーでも定期的にアップデートが配信される仕組みを整え、デバイスのセキュリティ管理という面倒な作業から利用者を解放するまでは、脆弱なままでしょう。

とはいえ、デバイス保護のために利用者が今できることはないでしょうか?以下のヒントを参考にしてください:

  1. アップデートが入手可能になったら、すぐに適用しましょう。無視しないでください。
  2. アプリをダウンロードするのは、信頼できる提供元からだけにしましょう。偽サイトに注意してください。これですっかり安全になるわけではありませんが、特定タイプの脅威を回避する1つの方法です。
  3. セキュリティ製品を利用しましょう。スマートフォンベンダーからセキュリティパッチがなかなか提供されないとき、セキュリティ製品が力になることがあります。
  4. セキュリティに関するニュースを読んで、最新の情報をチェックしましょう。そうしないと、たとえば既定のMMSダウンロードを無効にしておけばStagefright脆弱性に関する問題を回避できる、などの大事な情報に気づかないかもしれません。
ヒント