IPA(情報処理推進機構)は2011年6月22日、市場に流通しているAndroid端末の脆弱性を調査したレポートを発表した。
この調査は、IPAが国内で流通しているAndroid端末を入手して、脆弱性への対策状況を独自に検査したもの。検査時期は2011年3月。対象機種は、3月時点で市販されていたAndroid端末14機種である。
検査では、「Droid Dream(ドロイド・ドリーム)」というマルウエア(ウイルス)を構成するプログラムの一部を使用し、Android OSの持つ脆弱性2件に対して、各Android端末が対応できているかどうかを調べた。Droid Dreamは2011年3月に発見されたマルウエア。このマルウエアが突くOSの脆弱性は、2010年8月に発覚していた。
IPAによれば、2011年3月の検査時点で、グーグルによるAndroid OS自体への対策は済んでいた。しかしIPAが3月に検査したところ、これらの脆弱性に対策できていない機種が14機種中11機種あった。また、IPAが6月に各機種の対策状況をAndroid端末の販売会社(携帯キャリア)経由で確認したところ、この時点で対策が済んでいない機種が2機種あったという。2機種はソフトバンクモバイルの「003Z」とKDDIの「ISW11HT(HTC EVO WiMAX)」。検査結果の詳細はIPAの資料に掲載されている。
IPAは「脆弱性が発覚してから10か月以上経過しても、対策できない端末がある」と指摘した上で、各端末メーカーには次のような2つの事情があると分析する。
(1)Android端末メーカーは各機種のOSに独自の仕様を加えているため、グーグルがAndroid OSのセキュリティパッチを提供しても、それぞれの機種を対応させるまでに時間がかかる傾向にある。
(2)Android OSにはすでに複数の脆弱性が発覚しているが、それらの脆弱性が各端末にある独自の仕様にどのような影響を及ぼすのかが把握しにくい。このため、Android端末メーカーは対策が難しくなっている。
IPAは「こうした状況を改善するためには、Android端末メーカーそれぞれが個々に対策するのではなく、業界全体で情報を共有するなど、横断的な取り組みが不可欠」とする。「今後、Android端末にかかわる企業や組織と情報提供や意見交換をしながら、効果的なセキュリティ対策のあり方を探っていきたい」(IPA)。
[IPA テクニカルウォッチ スマートフォンへの脅威と対策に関するレポート(PDF)]
