2011年06月26日

Android脆弱性問題:未対応モデルも

昨日の関連記事です。

以下、読売新聞より
↓↓↓
Android脆弱性問題:未対応モデルも

スマートフォンの人気が高まる中、主力のAndroid端末で大きな問題が起きている。セキュリティーの弱点である「脆弱性」を、修正していない機種が存在しているのだ。(テクニカルライター・三上洋)


Android14機種のうち、2機種が未修正

20110626-1.jpg
IPAによるスマートフォンの脆弱性調査。赤は脆弱性二つとも未対策、黄色は一つが未対策、青は二つとも対策済み(2011年6月現在、IPAのレポートによる)

IPAによるスマートフォンの脆弱性調査。赤は脆弱性二つとも未対策、黄色は一つが未対策、青は二つとも対策済み(2011年6月現在、IPAのレポートによる) Androidの「脆弱性対策」が問題になっている。脆弱性とは、外部から攻撃されると何らかの被害にあう弱点・欠陥のこと。この脆弱性を外部から攻撃されると、ウイルスや不正プログラムの被害にあって、犯人によって遠隔操作されたり、個人情報を盗み取られたりする危険性がある。
Androidの脆弱性について、IPA・情報処理推進機構が22日に「スマートフォンへの脅威と対策に関するレポート」を発表した。IPAが独自調査で各社のAndroid端末の脆弱性をチェックしたものだ。それによると、脆弱性がみつかってから10か月たっても、修正されていない機種があった。
IPAでは2011年3月に発見された不正プログラム「ドロイド・ドリーム」を使って、Androidのスマートフォン14台をチェックした。この「ドロイド・ドリーム」は、2010年8月に発見された二つの脆弱性を攻撃するものだ。その結果が右の表だ。
2011年3月の時点では、14機種中11機種(79%)で、不正プログラムを実行できてしまった。次に6月の時点で、各社に脆弱性への対応状況を問い合わせたところ、3か月たったにもかかわらず、まだ2機種で修正されていなかった。003Z(ソフトバンクモバイル)、ISW11HT(HTC EVO WiMAX:au)の2機種は、「今後対策予定」として脆弱性が残ったままとなっている。「ドロイド・ドリーム」などの不正プログラムの被害にあう可能性がある機種だ、ということになる。


機種ごとにカスタマイズされているのが原因

20110626-2.jpg
Android端末における概略図。端末メーカーが機種ごとにOSをカスタマイズしているため、脆弱性への対策が遅くなる(IPAのレポートによる)

Android端末における概略図。端末メーカーが機種ごとにOSをカスタマイズしているため、脆弱性への対策が遅くなる(IPAのレポートによる) なぜ脆弱性が長期間放置されているのだろうか。その原因は、Androidそのものの構造・OS(基本ソフト)にある。
パソコンのWindowsやMacOS、そしてiPhone/iPadなどのiOSでは、基本ソフト=OSの開発会社が一括管理し、機種を問わずに共通のOSを配布・アップデートしている。たとえば同じWindowsパソコンであれば、メーカーや機種を問わず同じOSを使っている。バージョンによる違いはあるが、Windows7の機種であれば、どのパソコンでも同じWindows7を使っている。Windows7に脆弱性が発見された場合、マイクロソフトが修正プログラムを配布すれば、メーカーや機種を問わず、すべてのWindows7マシンで修正できる。
それに対してAndroidでは、機種ごとにメーカーがカスタマイズしているという面倒な事情がある。端末のスペックや仕様によって、Androidのバージョンが異なるし、独自のシステムや仕様を使うために、Androidをカスタマイズしている。そのため、Android OSを作っているGoogleが脆弱性を修正したとしても、メーカー側ですぐに対応できるとは限らないのだ。
この事情により、上の表のように脆弱性への対応がバラついてしまう。2010年8月に発見された脆弱性なのに、10か月たった2011年6月になっても修正できていないという機種も出てきてしまうのだ。
これについてIPAでは、他組織との情報共有を進める、脆弱性対策情報を蓄積・公開することで、脆弱性対策を推進すると発表している。


Androidではウイルス対策ソフトが必須に

20110626-3.jpg
脆弱性を攻撃するAndroidアプリの動作。ファイルを削除したり、遠隔操作で電話をかけたりGPSで居場所を調べるといったことができてしまう(IPAのレポートによる)

脆弱性を攻撃するAndroidアプリの動作。ファイルを削除したり、遠隔操作で電話をかけたりGPSで居場所を調べるといったことができてしまう(IPAのレポートによる) 調査対象となった「ドロイド・ドリーム」という不正プログラムは、幸いなことに目立った被害を起こすものではなかった。しかし、このアプリはGoogleの公式配布サイト「Android Market」で配布されていたことから、最大で20万件近いダウンロードがあったと推測されている。
また、問題の脆弱性を攻撃すると、本来はアクセスできないはずのファイルにもアクセスできてしまう。そのため最悪の場合は、システムファイルを削除されてAndroid端末自体が起動できなくなったり、第三者によって勝手に操作される危険性もある(以前の記事「『乗っ取り』対策 Androidにもセキュリティーーソフトを」参照)。
このようにAndroid端末は、脆弱性の修正が遅くなること、攻撃されると被害がパソコン以上に大きくなることから、ユーザーは警戒するべきだ。最大の防御は、Android用のウイルス対策ソフト・セキュリティー対策ソフトを導入することだ。筆者は以前の記事で、「Androidのセキュリティー対策ソフト導入は絶対ではなく、ルールを守ることができる人ならば導入せずに様子を見てもよい」と書いた。しかしながら、この状況を考えて、方針を変更したい。
Android端末には、セキュリティー対策ソフトは必須だ。Androidでは、脆弱性の修正が遅れがちになるため、ウイルスや不正プログラムの被害にあいやすいためだ。Androidユーザーは、必ずセキュリティー対策ソフトを導入しよう。NTTドコモでは、7月1日からAndroid端末向けに「ドコモ あんしんスキャン powered by McAfee」を無料提供する。またソフトバンクも、月額315円かかるものの「スマートセキュリティー powered by McAfee」を提供している。auの場合は、下記のいずれかを導入しよう。


●主なAndroid向けセキュリティーソフト
・トレンドマイクロ「ウイルスバスター モバイル for Android ベータ版」9月30日まで無料。それ以降の価格は未定
・シマンテック「ノートン モバイルセキュリティー」1年間2980円
・エフセキュア「モバイル セキュリティー for Android」1年間3500円

続々と発売されているスマートフォンの夏モデルを買おうと思っている人は、必ずセキュリティー対策ソフトを導入しよう。家族や知人にもすすめてほしい。

(2011年6月24日 読売新聞)


ほとんどパソコンと変わらない状態ですね。

ウイルス対策やセキュリティーを考えなければならないほど高性能になりましたが、その分、面倒になった気がします。

でも、非常に面白い端末であることには違いありません。
posted by 葵栄治 at 00:00| 兵庫 ☁| ケータイ関連 | このブログの読者になる | 更新情報をチェックする