デイリー News

アンドロイド・スマホのセキュリティ・スキャンダル:メーカーがセキュリティ・アップデートを偽装か

これはドイツのセキュリティ会社である、Security Research Labs(SRL) が行った調査により発覚した。Wired誌という非常に有名な雑誌があり、そこでこの問題に関する一部の報告を行った。その内容について私のブログでも取り上げたいと思う。

 

アイキャッチ画像はロイヤリティーフリー素材より:https://www.pexels.com/photo/close-up-code-coding-computer-374559/

ソース(英語)はこちら:https://www.wired.com/story/android-phones-hide-missed-security-updates-from-you/

概要

SRLの Karsten Nohl氏 と Jakob Lell氏が、アンドロイド・スマホのセキュリティ・アップデートを行った端末であっても、実際にはセキュリティ・パッチ (セキュリティの脆弱性の修正)が完全には行われておらず、一部欠落していたり、悪質な場合だと「全く何も修正されていない」偽装アップデートをしている企業があると突き止めた。

Wired誌では特定の企業は公開されていないので、どこの企業が悪質な偽装をしていたのかはわからない。

SRLは重要度の高いセキュリティ・パッチの欠落は多くのスマホに存在するとし、大企業でもある、サムスン、ソニー、LG、Huawei、HTC、そしてグーグルのスマホですら完全にパッチが提供されていない場合もあると発表している。

それでは詳しく書いていきたい。

 

 

偽りのセキュリティ・アップデート

アンドロイド・スマホを使用していると1年に1〜2回程度、製造者(サムスン、ソニー、Huaweiなど)からセキュリティ・パッチをダウンロードするようアップデートを促される。

セキュリティ・パッチ提供の流れは以下のようになっている

アンドロイドOS(グーグル) → 製造メーカー (サムスン、ソニー) → ユーザー

もしくは、製造メーカーが独自に用意する場合もある。SRLはおよそ1200以上のスマホを調査し、セキュリティ・パッチが本当に実装されているかを調べた結果、多くの端末で全てのセキュリティ・パッチが完全に提供されていないことが判明した。

悪質なフェイク・アップデート

調査したスマホの中には、セキュリティ・アップデートを何月何日に行ったと記録を更新はしているものの、中身は全くアップデートされておらず、セキュリティ・パッチが一切更新されていない端末もあったそうだ。

大手の製造社でも問題が発覚

残念なことに、大企業であるソニー、サムスン、LG、Huawei、モトローラなどでもセキュリティ・パッチを全てインストールしていると公言しているのにも関わらず、一部欠けている端末も発覚したそうである。

下の画像は平均していくつパッチが足りていないかを示した表である。

画像はWired誌に提供されたSRLの調査を引用したスクリーンキャプチャ:https://www.wired.com/story/android-phones-hide-missed-security-updates-from-you/

グーグル、ソニー、サムスン、Wikoはかなり誠実に対応している。2つ目に少ないグループはシャオミー、OnePlus、Nokia。意外と言ってしまうと失礼ではあるが、ちゃんとしたセキュリティ・アップデートを施しているということがわかった。

逆に驚いたのが、3つ目のグループにLG、HTC、Huawei、モトローラとかなりの大企業が、シャオミーやOnePlusよりもいい加減なアップデートをしていた点である。

そして4つ目のZTEとTCLという中国のスマホ・メーカーが続く。

フラッグシップ機はセキュリティ面で有利

ほぼ全てのスマホ・メーカーは エントリーモデル/ミッドレンジ/フラッグシップ と3つのカテゴリーに分けてスマホを製造している。

セキュリティのアップデートではまずフラッグシップ機から優先的にアップデートされていく。それは当然のことで、最も高額な端末を使うユーザーが優遇されるのは不思議なことではない。

なので、フラッグシップ機の方がよりセキュリティ面では優位になる。

チップ・メーカーにもセキュリティ・パッチの責任がある

セキュリティ・パッチというのは何もアンドロイドOSを開発しているグーグルとスマホを製造しているメーカーだけの問題ではない。

スマホの処理能力を司るSoCといわれるチップ・メーカーにもセキュリティ・パッチを提供すべき責任がある。チップ・メーカーとして世界的に有名なのが

クアルコム (スナップドラゴン・シリーズ)
サムスン (Exynos・シリーズ)
ハイシリコン (Kirin・シリーズ)
MediaTek (MT・シリーズ)

彼らにもセキュリティ・アップデートを施す必要があり、彼らの責任は非常に重要である。なぜかというと、チップ・メーカーがもしアップデートを行わなければ、いくらアンドロイドOSやスマホ製造メーカーがセキュリティ・アップデートを行っても、全体のセキュリティは下がってしまう。

チップの脆弱性を修正できるのはチップ・メーカーしかいない。川上に位置するチップ・メーカーがセキュリティ・パッチを提供しなければ、川下にいるアンドロイドOSや製造メーカーはどうしようもないのだ。

そして残念なことにMediaTek (メディアテック)のセキュリティ・パッチのセキュリティは非常に甘いというのが露見した。その画像がこちら。

画像はWired誌に提供されたSRLの調査を引用したスクリーンキャプチャ:https://www.wired.com/story/android-phones-hide-missed-security-updates-from-you/

上の画像は、チップ・メーカーが平均していくつパッチを施していないかということを示している。

一番優秀なのはサムスン製(Exynosを製造)で0.5以下、次にクアルコム製(スナップドラゴンの製造者)が1.1個パッチが足りていない。3位がハイシリコンでHuaweiの子会社でHuaweiのチップを製造しているメーカーが1.9個

最悪なのがMediaTekで平均9.7個もパッチが足りていない

MediaTekのチップは安いスマホに使用されることが多い。エントリーモデルやミッドレンジのスマホはセキュリティ・アップデートが行われることがない場合も多く、そうなってしまうとチップ・メーカーもそれを行わなくなる。負のスパイラルで、ユーザーは守られなくなる。

私のレビューしたスマホには1台もMediaTekのチップは含まれていないと思う(もし違ったらすみません、けれど一台もないハズ)。

SRL社のNohl研究者曰く「安い端末を購入すると、結局はセキュリティ面でそのツケを払うことになってしまう」と話している。

 

 

この件に関するグーグルの意見

必ずしも全てのセキュリティ・パッチが必要ではない

万が一セキュリティ・パッチがインストールされていなくても、アンドロイドOSをハッキングすることは非常に難しい構造になっている。

スマホ・メーカーがグーグルの用意したパッチ以外に独自に開発したパッチを作ることもあるので、必ずしも全てを活用する必要がない場合もある。

セキュリティというのは何層にもなって守られているもので、セキュリティ・パッチはアンドロイド・スマホを守る1つの階層(Layer)のうちの一つにすぎない。もちろん、セキュリティ・パッチは重要な層の1つではあるけれど、アンドロイドOSにはその他のセキュリティ対策が行われている。(例:Sandboxing / Google Play Protect / Address Space Layout Box)

というのがグーグルの回答。

SRL:それでも全てのパッチはインストールされるべき

SRLはアンドロイドOSをハッキングすることは非常に難しいことであるとは認めつつも、Google Playやそれ以外からダウンロードした悪質なアプリによってハッキングのリスクがあるため、それでも全てのパッチは実装されるべきだと言及している。

まとめ

このセキュリティ・パッチに関する話は個人的に非常におもしろかった。セキュリティ・パッチを偽装しているメーカーがいるとは考えもしなかった。全くパッチを実装しないフェイク・アップデートも存在するほど悪質な場合もある。

アンドロイドOSを開発するグーグル、チップメーカー、そしてスマホ・メーカー、これら全てが協力しなければ、より安全なアンドロイド・スマホ環境を作ることはできない。

残念ながらSRLは「一般的なユーザーがパッチの偽装を見抜くことはほぼ不可能に近い」と話しているので、ユーザーはメーカーを信じるしかないのだと思う。

iPhoneユーザーもアップル製品だから安心と思っていてはいけない。iPhoneでさへ、数年前にiCloudがハッキングされハリウッド俳優のプラベート画像が流出したニュースを覚えている人は多いハズ。

iPhoneはアンドロイド・スマホよりもセキュリティ面では優れていると言われているが、それでも完璧ではない。

私も含め、この記事からたくさん学ぶことができた人も多いだろう。

 

関連記事

  1. うわさ

    Huawei P20 & P20 Pro リーク情報:公式発表は3月27日

    さて本日のピックアップは「Huawei P20 と P20 Proのう…

  2. うわさ

    Huawei P20 リーク情報まとめ:公式発表は3月27日

    本日のピックアップは「Huawei P20のリーク情報のまとめ」。よう…

  3. デイリー News

    VIVO Apex:大注目のコンセプト・スマホ in MWC

    本日のピックアップは「VIVO Apex (ヴィヴォ エイペックス)」…

  4. うわさ

    HTC 2018年フラッグシップ機はU12+のみの発表か:リーク情報はU12は取り止めの可能性

    本日のピックアップは「HTCのフラッグシップはU12を見送り、U12+…

  5. うわさ

    アップル3月27日に廉価版iPad発表か?:その他、13インチMacBookなどの噂も

    本日のピックアップは3月27日に行われる「アップルの教育機関向けのイベ…

最近の記事

特集記事

  1. ベスト・スマホ:2017年下半期 〜 2018年上半期のスマ…
  2. 3.5万円以下(2018年6月)で買えるコスパ最高の新品スマ…
  3. 必読:私が行っているアンドロイド・スマホ用 セキュリティ対策…
  4. ベスト・スマホ 2017:カテゴリー別に最良のスマホを選出
  1. Xiaomi (シャオミー)

    Xiaomi (シャオミー) Mi A2 レビュー:個人輸入すればコスパ最強ミッ…
  2. うわさ

    OnePlus 6 のうわさ (リーク画像あり):デザインはまたもやアップルをお…
  3. OPPO 発表

    Realme 2 Pro 発表:Oppoのサブ・ブランドより、コスパ最高クラスの…
  4. うわさ

    Huawei P11 (もしくはP20)のうわさ:発表はMWC開催中か
  5. SONY Xperia 発表

    Xperia XZ2 Premium 発表:ソニー初のデュアルレンズ・カメラに4…
PAGE TOP