カスペルスキーは11月4日、Android端末のセキュリティにおける危険性を同社のブログ「Kaspersky Daily」で解説している。

ブログでは、ケンブリッジ大学の研究を紹介。大学では、Androidのセキュリティを調査し、メーカー各社のスマートフォン2万台以上を分析した。その結果、Androidデバイスの87.7%が、少なくとも1件の深刻な脆弱性の影響を受けることが判明した。

ケンブリッジ大学での調査結果

ケンブリッジ大学の研究者グループは、Androidベンダー各社のセキュリティレベルを数値化するため、FUMという指標を導入した。

  • F(free:なし) - テストで深刻な脆弱性の影響を受けなかったデバイスの割合

  • U(update:アップデート) - 各ベンダーのデバイスで最新バージョンのAndroidが使用されている割合

  • M(mean:平均) - 各ベンダーのスマートフォンに存在するパッチ未適用の脆弱性の平均数

この3つの値を正規化して合計したのがFUM指標で、値は1~10の範囲となる。この値から、ベンダーのセキュリティレベルを評価した。

調査結果によると2011年7月から2015年の4年間で、全Androidデバイスの平均FUM値は大幅に下がり、最高値10に対して、わずか2.87だった。最も安全性の高いスマートフォンは、GoogleのNexusで、FUM値は5.17。カスペルスキーでは、アップデートファイルの開発企業であることから、他のデバイス比べてFUM値が高くなったと推測している。

それでも、FUM値が最大値より大きく下回っていることについては、「Nexusにもすぐにアップデートが配信されるわけではなく、OTAアップデートの配信には2週間もかかっている」と指摘。安全でない状態が続いている可能性があるという。他メーカーは、LG(FUM 3.97)、Motorola(3.07)、Samsung(2.75)、Sony(2.63)、HTC(2.63)、ASUS(2.35)となった。

特に、安全性が低いとされたのは、Symphony(0.30)やWalton(0.27)といった認知度の低いメーカーの端末。中国製のノーブランド製品も、同じくらいFUM値が低いだろうと考えを示した。大手メーカーのHuaweiやLenovo、Xiaomiについては、研究から除外されていた。

Android端末のセキュリティは、利用者が所有する端末が、メーカー、OSのバージョンなどが違うことによって複雑化する。セキュリティのアップデートは、OSの提供元Googleが1本化されず、端末メーカーに任されている場合が多い。

問題は、大半のAndroidデバイスでアップデートの配信が遅れていることだと指摘している。端末メーカーのアップデートが遅れることで、利用者のセキュリティのリスクは高くなる。

ほとんどのデバイスはライフサイクルの終了すると、原則アップデートが終了する(有料のサポート延長を用意する場合もある)。サポート終了後のAndroid端末は、メーカーから「完全に見捨てられた状態」になると説明している。

Android端末な脆弱なシステムを改善するには、Googleがアップデートファイルの配信を抜本的に見直す必要があると指摘している。現在のようにメーカー任せにしていると、アップデートが定期的に行われず、利用者が危険な状態に長く晒される可能性が高い。

Android端末の利用者がセキュリティ向上を図るには、以下のことを推奨している。

  • アップデートが入手可能になったら、すぐに適用する

  • アプリをダウンロードするのは、信頼できる提供元のみにする

  • 偽サイトに注意