大部分のAndroid端末、Google配信のセキュリティパッチを完全には網羅せず――独セキュリティ企業の調査

Googleが月例パッチに含めた重大な脆弱性への対応が抜け落ちていることがある――。ドイツのセキュリティ企業Security Research Labsが調査結果を発表した。

　ドイツのセキュリティ企業が各社のAndroid端末を調査した結果、ほとんどのベンダーにパッチの欠落が見つかった。

　Android端末の大部分は、メーカーやキャリアから配信されるアップデートを適用しても、Googleが月例パッチに含めた重大な脆弱性への対応が抜け落ちていることがある――。ドイツのセキュリティ企業Security Research Labsが4月12日、そんな調査結果を発表した。

　Androidを巡っては、パッチの導入状況が端末によってまちまちだった実態を受け、Googleが脆弱性を修正する定例パッチを毎月メーカーやキャリアなどのパートナー向けに配信するようになった。パートナー各社はこのパッチをもとに、ユーザーの端末にアップデートを配信している。

　Googleの定例パッチでは、毎月何十件もの脆弱性が修正される。ところがSecurity Research Labsの研究者が各社のAndroid端末を調査した結果、ほとんどのベンダーにパッチの欠落が見つかったという。

　同社の調査では、危険度「重大」（Critical）または「高」（High）の脆弱性修正パッチが欠落していた平均の件数をメーカー別に調べた。

　それによると、欠落していたパッチの数が0～1と最も少なかったのは、Google、Sony、Sumsung、Wikoの4社の端末だった。次いで1～3件がXiaomi、OnePlus、Nokia、3～4件がHTC、Huawei、LG、Motorola。TCLとZTEの端末は、欠落パッチが4件以上と最も多かった。

　ただし調査対象とした端末は、メーカーによって5～9台から50台以上と幅がある。また、今回の調査は全てのパッチを対象とはしていないことから、実際に欠落しているパッチの数はもっと多い可能性があるとしている。

　「現代のOSは複数のセキュリティ対策で守られており、少数のパッチが抜け落ちたとしても、一般的には、リモートからAndroidに攻撃を仕掛けるには不十分」とSecurity Research Labsは解説する。それでも「さまざまなセキュリティ層をの効率性を保つ上で、パッチは決定的に重要」と強調した。

　今回の調査結果は、4月13日にオランダのアムステルダムで開かれるセキュリティカンファレンス「Hack in the Box」で発表予定。