Googleの新しいAndroidの責任者Sundar Pichai氏 は、Mobile World Conferenceで行ったスピーチで、Googleのモバイル用Android OSでは、OSの設計や利用の「自由度」がセキュリティ対策よりも優先されているために、Androidユーザーは非常に高い割合でマルウェアに対する脆弱性にさらされていることを認めました。

Androidの最新OSの割合は何と4%

先週、Ciscoが「モバイル機器向けのマルウェアの99%がAndroidをターゲットにしたものである」というレポートを発表しました。これに先立ち、Juniper Networksが昨年の夏、マルウェアの爆発的な増加を報じるレポートを発表していますが、その中で「すべてのAndroid端末が最新バージョンのOSを搭載していれば、77%のマルウェアは排除できていただろう」と推測しています。実際のAndroidユーザーの最新OSの割合は4%だということです。
 
Android
 

Androidは安全性よりも自由度が最優先

Androidのマルウェア問題について質問されたPichai氏は「Androidは安全性よりも『自由度』を尊重して設計されている。マルウェアの9割がAndroidを標的にしているのは、Androidが世界で最も多く利用されているからだ。もし私がマルウェアを作る企業ならば、やはりAndroidを狙うだろう」と、語ったそうです。

Googleはユーザーに十分なセキュリティアップデートを提供していない

Pichai氏は、10年前にPCで、MicrosoftのWindowsOSが置かれた立場とAndroidを比較するようなコメントをしつつも、Juniper Networksが指摘したマルウェア問題の原因、つまりGoogleとそのパートナー企業が、Androidユーザーに十分なセキュリティの更新を提供していないという点には触れませんでした。

アメリカ政府も脆弱性を懸念

昨年7月、アメリカ政府は「Android OSを搭載したモバイル端末への脅威」と題した報告書で、Android端末はその市場シェアとオープンソース設計を理由に、今後もマルウェアの主要ターゲットになり続けるだろうと警告しています。また、今後はモバイル端末のOSを常に補強し最新の状態にしておくことが最も重要であるとしています。
 
しかし、その何カ月も後に、GoogleはGoogle PlayにアクセスしてきたAndroidユーザーの20%が、2011年に登場したAndroidのGingerbreadかそれ以前のバージョンを使用していると報告しています。政府のレポートでは、このバージョンには、まだ修復されていない脆弱性があるとされています。
 
ここ数カ月でGingerbreadの実際のユーザー数はかなり改善されましたが、Gingerbread以降のOSがより危険にさらされる問題も出ています。つい最近もセキュリティの専門家たちがGoogleに対策を迫るほどの重大な欠陥が報告されましたが、今のところその対策をとったAndroidユーザーはわずか27%で、残る73%のユーザーはGoogleのWebViewを利用する度に、悪意のユーザーに端末をリモートコントロールされるリスクを冒しています。

Appleはセキュリティを最優先、旧iOS6にも無償アップデートを提供

一方で、Appleユーザーがセキュリティの欠陥に遭遇する確率は低いです。Googleでは最新のAndroidであるKitkatバージョンのユーザーの割合がわずか1.8%なのに対し、Appleユーザーの82%は最新のiOS7を利用しています。両OSともリリースされたのは昨年秋とほぼ同時期です。その上、Appleは最新版のiOS7ユーザーだけでなく、2010年に購入されたiPadで稼働しているiOS6のユーザーにも、簡単にインストールできる更新プログラムを無料で提供しています。
 
Appleは、A7チップに組み込まれるTouch IDやSecure Enclaveなどの詳細を盛り込んだ、iOSのセキュリティにフォーカスしたiOS Securityと題する報告書の中で、ハードウェアはもちろん、iOSプラットフォームもセキュリティを核として設計していると述べています。「Appleは過去の経験を教訓にして、全く新しい設計の、可能な限り最良のモバイルOSを作ろうと考えた。デスクトップ環境のセキュリティハザードを想定し、iOSのセキュリティ設計においては新たなアプローチを試みた。モバイルセキュリティを強化し、システム全体を守るため革新的な方法を一から開発し取り入れた。その結果、iOSはOSセキュリティにおいて格段に進歩したものとなった。」
 
またAppleは、iOSが端末やそのデータの保護だけでなく、ローカル環境であれ、オープンなネット環境、あるいは保護されたネット環境であれ、ユーザーが利用するエコシステム全体を守るよう設計したと述べています。文書中のどこにもGoogleが優先する「自由」という言葉は見当たりません。この文書のSecure Bootに関する部分では、セキュリティの脆弱性が見つかっている旧バージョンのiOSをインストールする「自由」を制限する記載はあります。しかしこれは、端末が盗まれた際に、窃盗犯が端末のセキュリティを破るため、脆弱性のあるバージョンに故意にダウングレードしてユーザーのメッセージやパスワードなどの情報を盗もうとするのを防ぐ意味もあるのです。
Secure Mobile device

Samsungも企業向けにはAndroidの自由度を制限

このように自由度を優先するAndroid端末に安全を求めることは非常に難しいのが現実です。Samsungは必要性にかられ法人向けのAndroidユーザー向けに自由度を制限し、iOSのセキュリティに近い環境を提供するKnoxというアドオンの仕組みを提供しようとしていますが、対応するAndroid端末が少なく、ニーズに十分に応えるには至っておりません。
 
 
参照元:Apple Insider
執 筆:リンゴバックス