Android端末の脆弱性対策、10カ月放置のメーカーも～IPAがレポート

　独立行政法人情報処理推進機構（IPA）は22日、Android OSを搭載するスマートフォンにおける脆弱性対策の実情と課題をまとめたレポート「IPAテクニカルウォッチ第3回」を公表した。

　レポートでは、3月時点で市販されていたAndroid端末14機種を対象に、「ドロイド・ドリーム」というウイルスを構成するプログラムの一部を用いて、脆弱性の対策状況を検査した。ドロイド・ドリームは2010年8月に見つかった脆弱性などを悪用するもの。

　検査を実施した3月時点でAndroid OS自体は脆弱性を対策済みだったが、Android端末は14機種中11機種が対策できていなかった。さらに間隔を置き、6月に各機種の対策情報を確認したところ、依然として2機種が対策していなかったという。

Android端末14機種における脆弱性対策状況検査結果

　これらの結果を受けてレポートでは、脆弱性が報告されてから10カ月以上経過しても、対策を行っていないAndroid端末があると指摘。Android端末はPCと比べて、脆弱性対策に時間を要するとの見方を示している。

　「Android OS自体に脆弱性のセキュリティパッチが提供された場合でも、Android端末のメーカーは機種それぞれにおいて、Android OSに独自の仕様を加えて搭載しているため、それぞれの機種に対応させるまで時間がかかる傾向にある。」（IPA）

　また、Android OSのもととなっているオープンソースには多数の脆弱性が確認されているが、Android端末メーカーが独自の仕様を加えているため、どの脆弱性がAndroid端末に影響を及ぼすのか実態を把握しにくく、メーカーごとの対策が難しい状況だという。

　今後の課題としては、Android端末メーカーが個々に対策を充実させるだけでなく、メーカーやセキュリティソフト企業を含めた迅速な情報共有が不可欠と指摘。なお、国内ではこうした取り組みが始まっており、IPAも情報提供や意見交換を行うとしている。