スマホ・ニュース

アンドロイド・スマホのセキュリティ・スキャンダル:メーカーがセキュリティ・アップデートを偽装か

これはドイツのセキュリティ会社である、Security Research Labs(SRL) が行った調査により発覚した。Wired誌という非常に有名な雑誌があり、そこでこの問題に関する一部の報告を行った。その内容について私のブログでも取り上げたいと思う。

 

アイキャッチ画像はロイヤリティーフリー素材より:https://www.pexels.com/photo/close-up-code-coding-computer-374559/

ソース(英語)はこちら:https://www.wired.com/story/android-phones-hide-missed-security-updates-from-you/

概要

SRLの Karsten Nohl氏 と Jakob Lell氏が、アンドロイド・スマホのセキュリティ・アップデートを行った端末であっても、実際にはセキュリティ・パッチ (セキュリティの脆弱性の修正)が完全には行われておらず、一部欠落していたり、悪質な場合だと「全く何も修正されていない」偽装アップデートをしている企業があると突き止めた。

Wired誌では特定の企業は公開されていないので、どこの企業が悪質な偽装をしていたのかはわからない。

SRLは重要度の高いセキュリティ・パッチの欠落は多くのスマホに存在するとし、大企業でもある、サムスン、ソニー、LG、Huawei、HTC、そしてグーグルのスマホですら完全にパッチが提供されていない場合もあると発表している。

それでは詳しく書いていきたい。

 

 

偽りのセキュリティ・アップデート

アンドロイド・スマホを使用していると1年に1〜2回程度、製造者(サムスン、ソニー、Huaweiなど)からセキュリティ・パッチをダウンロードするようアップデートを促される。

セキュリティ・パッチ提供の流れは以下のようになっている

アンドロイドOS(グーグル) → 製造メーカー (サムスン、ソニー) → ユーザー

もしくは、製造メーカーが独自に用意する場合もある。SRLはおよそ1200以上のスマホを調査し、セキュリティ・パッチが本当に実装されているかを調べた結果、多くの端末で全てのセキュリティ・パッチが完全に提供されていないことが判明した。

悪質なフェイク・アップデート

調査したスマホの中には、セキュリティ・アップデートを何月何日に行ったと記録を更新はしているものの、中身は全くアップデートされておらず、セキュリティ・パッチが一切更新されていない端末もあったそうだ。

大手の製造社でも問題が発覚

残念なことに、大企業であるソニー、サムスン、LG、Huawei、モトローラなどでもセキュリティ・パッチを全てインストールしていると公言しているのにも関わらず、一部欠けている端末も発覚したそうである。

下の画像は平均していくつパッチが足りていないかを示した表である。

画像はWired誌に提供されたSRLの調査を引用したスクリーンキャプチャ:https://www.wired.com/story/android-phones-hide-missed-security-updates-from-you/

グーグル、ソニー、サムスン、Wikoはかなり誠実に対応している。2つ目に少ないグループはシャオミー、OnePlus、Nokia。意外と言ってしまうと失礼ではあるが、ちゃんとしたセキュリティ・アップデートを施しているということがわかった。

逆に驚いたのが、3つ目のグループにLG、HTC、Huawei、モトローラとかなりの大企業が、シャオミーやOnePlusよりもいい加減なアップデートをしていた点である。

そして4つ目のZTEとTCLという中国のスマホ・メーカーが続く。

フラッグシップ機はセキュリティ面で有利

ほぼ全てのスマホ・メーカーは エントリーモデル/ミッドレンジ/フラッグシップ と3つのカテゴリーに分けてスマホを製造している。

セキュリティのアップデートではまずフラッグシップ機から優先的にアップデートされていく。それは当然のことで、最も高額な端末を使うユーザーが優遇されるのは不思議なことではない。

なので、フラッグシップ機の方がよりセキュリティ面では優位になる。

チップ・メーカーにもセキュリティ・パッチの責任がある

セキュリティ・パッチというのは何もアンドロイドOSを開発しているグーグルとスマホを製造しているメーカーだけの問題ではない。

スマホの処理能力を司るSoCといわれるチップ・メーカーにもセキュリティ・パッチを提供すべき責任がある。チップ・メーカーとして世界的に有名なのが

クアルコム (スナップドラゴン・シリーズ)
サムスン (Exynos・シリーズ)
ハイシリコン (Kirin・シリーズ)
MediaTek (MT・シリーズ)

彼らにもセキュリティ・アップデートを施す必要があり、彼らの責任は非常に重要である。なぜかというと、チップ・メーカーがもしアップデートを行わなければ、いくらアンドロイドOSやスマホ製造メーカーがセキュリティ・アップデートを行っても、全体のセキュリティは下がってしまう。

チップの脆弱性を修正できるのはチップ・メーカーしかいない。川上に位置するチップ・メーカーがセキュリティ・パッチを提供しなければ、川下にいるアンドロイドOSや製造メーカーはどうしようもないのだ。

そして残念なことにMediaTek (メディアテック)のセキュリティ・パッチのセキュリティは非常に甘いというのが露見した。その画像がこちら。

画像はWired誌に提供されたSRLの調査を引用したスクリーンキャプチャ:https://www.wired.com/story/android-phones-hide-missed-security-updates-from-you/

上の画像は、チップ・メーカーが平均していくつパッチを施していないかということを示している。

一番優秀なのはサムスン製(Exynosを製造)で0.5以下、次にクアルコム製(スナップドラゴンの製造者)が1.1個パッチが足りていない。3位がハイシリコンでHuaweiの子会社でHuaweiのチップを製造しているメーカーが1.9個

最悪なのがMediaTekで平均9.7個もパッチが足りていない

MediaTekのチップは安いスマホに使用されることが多い。エントリーモデルやミッドレンジのスマホはセキュリティ・アップデートが行われることがない場合も多く、そうなってしまうとチップ・メーカーもそれを行わなくなる。負のスパイラルで、ユーザーは守られなくなる。

私のレビューしたスマホには1台もMediaTekのチップは含まれていないと思う(もし違ったらすみません、けれど一台もないハズ)。

SRL社のNohl研究者曰く「安い端末を購入すると、結局はセキュリティ面でそのツケを払うことになってしまう」と話している。

 

 

この件に関するグーグルの意見

必ずしも全てのセキュリティ・パッチが必要ではない

万が一セキュリティ・パッチがインストールされていなくても、アンドロイドOSをハッキングすることは非常に難しい構造になっている。

スマホ・メーカーがグーグルの用意したパッチ以外に独自に開発したパッチを作ることもあるので、必ずしも全てを活用する必要がない場合もある。

セキュリティというのは何層にもなって守られているもので、セキュリティ・パッチはアンドロイド・スマホを守る1つの階層(Layer)のうちの一つにすぎない。もちろん、セキュリティ・パッチは重要な層の1つではあるけれど、アンドロイドOSにはその他のセキュリティ対策が行われている。(例:Sandboxing / Google Play Protect / Address Space Layout Box)

というのがグーグルの回答。

SRL:それでも全てのパッチはインストールされるべき

SRLはアンドロイドOSをハッキングすることは非常に難しいことであるとは認めつつも、Google Playやそれ以外からダウンロードした悪質なアプリによってハッキングのリスクがあるため、それでも全てのパッチは実装されるべきだと言及している。

まとめ

このセキュリティ・パッチに関する話は個人的に非常におもしろかった。セキュリティ・パッチを偽装しているメーカーがいるとは考えもしなかった。全くパッチを実装しないフェイク・アップデートも存在するほど悪質な場合もある。

アンドロイドOSを開発するグーグル、チップメーカー、そしてスマホ・メーカー、これら全てが協力しなければ、より安全なアンドロイド・スマホ環境を作ることはできない。

残念ながらSRLは「一般的なユーザーがパッチの偽装を見抜くことはほぼ不可能に近い」と話しているので、ユーザーはメーカーを信じるしかないのだと思う。

iPhoneユーザーもアップル製品だから安心と思っていてはいけない。iPhoneでさへ、数年前にiCloudがハッキングされハリウッド俳優のプラベート画像が流出したニュースを覚えている人は多いハズ。

iPhoneはアンドロイド・スマホよりもセキュリティ面では優れていると言われているが、それでも完璧ではない。

私も含め、この記事からたくさん学ぶことができた人も多いだろう。

 

 

関連記事

ピックアップ記事

  1. シニア世代こそ 「 iPhone 」を使うべき:「 らくらくホン 」は全然オスス…
  2. 2019年は中古スマホが熱い!!:アベレージユーザーにこそ 型落ち (旧)フラッ…

関連記事

  1. うわさ

    OnePlus 6 のうわさ (リーク画像あり):デザインはまたもやアップルをお手本か?

    本日のピックアップは「OnePlus 6のうわさ」それほどリーク情報が…

  2. スマホ・ニュース

    Oppo R15 Proのコスパが非常に悪い件について:R15 Neoは「コスパ、まあまあ」ではある…

    今年から日本市場に参入してきたOppoが日本人ユーチューバーに「R15…

  3. スマホ・ニュース

    サムスン ギャラクシーS9 & S9+ タッチスクリーン問題 :一部分が無反応、公式にもア…

    本日のピックアップは「ギャラクシーS9、S9+のタッチスクリーンの不具…

  4. スマホ・ニュース

    VIVO Apex 年内に製品化へ(公式):2018年中頃から量産化か

    本日のピックアップは「VIVO Apexが年内に製造開始予定」とそれに…

  5. スマホ・ニュース

    OnePlus 5T 予想以上の販売好調により、北米で完売!!

    本日のピックアップは「OnePlus 5T 売れ行き好調で北米マーケッ…

最近の記事

特集記事

  1. ベスト・スマホ:2017年下半期 〜 2018年上半期のスマ…
  2. 3.5万円以下(2018年6月)で買えるコスパ最高の新品スマ…
  3. 必読:私が行っているアンドロイド・スマホ用 セキュリティ対策…
  4. ベスト・スマホ 2017:カテゴリー別に最良のスマホを選出
  1. うわさ

    Huawei P11 (もしくはP20)のうわさ:発表はMWC開催中か
  2. Apple iPhone 発表

    iPhone X 発表: これぞフルモデルチェンジ!!
  3. うわさ

    HTC U12+ リーク情報:スペックについての詳細予想・発表は5月上旬か
  4. その他

    「Pixel 3、Pixel 3XL 最大2万5000円 OFF」公式サイトにて…
  5. LG 発表

    LG V40 発表:カメラを5つ搭載 、特に背面の広角・標準・望遠の3カメラは間…
PAGE TOP