Androidのセキュリティが色々やばそうな件で

 山本一郎です。docomoとauユーザーです。

 ところで昨年、MicrosoftがWindows XPのサポートを終了するということで色々と騒ぎがありましたが、あれも今となっては遠い昔のことのように思えます。で、今度はスマホのAndroidで古いバージョンがセキュリティ面のサポートを終了する可能性があるようです。

グーグル、Android 4.3以前のセキュリティパッチ提供をストップか(WirelessWire News 15/1/13)

Android ver. 4.3(「Jelly Bean」)までのAndroid OSに含まれるウェブページのレンダリング用コンポーネントに見つかったバグについて、グーグル(Google)が自社でのセキュリティパッチの開発/リリースを予定していないことが明らかになり、一部で話題になっている。

(中略)

Rapid7というセキュリティ企業に所属するラフェイ・バロック(Rafay Baloch)氏がAndroidブラウザの「Android WebView」というコンポーネントにみつかったバグについてグーグルのセキュリティチームに問い合わせたところ、「Android 4.3以前のウェブブラウザについては、自社でのパッチ開発を停止し、パートナー企業に問題を報告するのみになる」「外部の企業が開発したパッチを配布する可能性はある」などとする回答があったという。

 この件で興味深いのは、サポート終了がGoogleから公式に発表されたのではなく、たまたま問い合わせがあったためそういう事実が判明したという点です。もし誰も問い合わせなければ、ずっとAndroid 4.3までのサポート期間がいつ終わるのかは知られないままになっていたかもしれません。もっとも、OSのサポート期限を公表していないのはGoogleだけではなくAppleも同じようなスタンスです。

Google、古いAndroidのサポート終了か 9億台で脆弱性放置の恐れ(ITmedia 15/1/13)

OSなどのサポートを巡っては、米Microsoftがサポート期限を公表しているのに対し、GoogleやAppleは公表していない。

出典:ITmedia

 そういう意味ではMicrosoftは随分と良心的と言えるのかもしれません。

 いままでワーワー言ってすまなかった、Microsoft。

 で、今回サポートが打ち切られることが判明したOSを搭載するAndroid端末の数がなかなかすごく、なんと世界で9億3000万台以上のスマホがセキュリティ的に無防備な状態に晒されているということになるようです。

Googleの統計によれば、2015年1月5日の時点でLollipopの普及率は0.1%に満たず、KitKatは約39%。残る60%をJelly Beanまでのバージョンが占めている。それにもかかわらずGoogleのサポートは打ち切られ、「9億3000万台以上のAndroid携帯がGoogleの公式セキュリティパッチの対象外になっている」(Rapid7の研究者)という。

出典:ITmedia

 いかんでしょ。

 Android 4.3が発表されたのは2013年7月と1年半近く前で、現在はすでに後継となるAndroid 4.4やさらには最新のAndroid 5.0までもが提供されている状況ですから、今さらそんな古いOSを使っているユーザーの方が悪いというのがGoogleの考え方なのかもしれません。

 まあ、Googleとしては古いモデルでもOSをアップデート出来るような手段を提供してきているので建前論としては至極正論なんですが、現実には端末を販売しているメーカー側がそうしたOSアップデートについてちゃんと対応していないことがほとんどのため、Googleの論法は全く通じないのがAndroid世界の常識だったりするという問題があるわけですが。

 GoogleがEvilではない会社として分かってやっているのかどうか、実に微妙なところだなあと思うのであります。

発売1年未満の国産スマホも大打撃、GoogleがAndroid 4.3以下のサポート終了(BUZZAP! 15/1/14)

ソニーやSamsung、HTCといったグローバルメーカー各社がフラッグシップモデルを可能な限りAndroid 4.4へとOSアップデートしているのに対し、シャープや富士通、京セラといった国内メーカーは発売1年程度となる2013年冬~2014年春発売のモデルすらアップデートを見送っています。

出典:BUZZAP!

 なんとも日本国内の状況は惨憺たるものがありますね。こうした状況になってしまっている要因には、メーカー側の対応の遅れだけでなく、キャリア側が各種サービスについて新しいOSへ対応するのが面倒で据え置いたままにしているのではと疑われるような事例などもありそうで、もはや手の施しようが無いといった感じでしょうか。

 今回のサポート終了の件、IT系ニュースサイトやAndroid情報サイトなどの一部が騒いでいても、キャリア側からは今のところ何のアナウンスもありません。もはや「赤信号みんなで渡れば怖くない」ではありませんが、セキュリティリスクは皆でそろって黙っていれば問題にならないくらいの思惑が各キャリアやメーカーにはあるのかもしれません。まあ、そこまで含めてユーザーに自己責任とリテラシーが求められるスマホということなのか。なかなか世知辛い時代になりました。

 この調子でIoTだスマートなんたらだと言っていて、何十億台と演算能力のあるチップの乗った機器が流通してしまった後で「実は脆弱性を解決できるバージョンアップができません」という話になると、スペースデブリ状態の解決不能なガラクタがいっぱいネット上に放置されることになるわけで、技術革新はいいけどもう少し先を見て何かできるようにならないかと思ってしまうんですよね。

 まあ、肝心の我々が、脳や人生のバージョンアップがそもそもできないわけですが。