数年前、スティーブ・ジョブズはAdobe Flashをセキュリティとパフォーマンスの問題で大惨事だと非難し、このソフトウェアプラットフォームに深く関わってきた業界関係者から軽蔑を浴びました。今日、GoogleのAndroidプラットフォームも同様に厳しい評価を受けていますが、それはAndroidファンからの批判です。
Androidパンの中のGoogleのFlash
今日、Flashがウェブ上の厄介者であることは、ほぼ誰もが認めるところです。Wired誌は先日、MozillaがブラウザでFlashを無効化しようとしていることや、Facebookのセキュリティ責任者であるアレックス・スタモス氏がAdobeに対しFlashの廃止時期を定めるよう求めたことを報じた記事の中で、Flashを「誰もが必要としたくない、安全ではない、あちこちで見られるリソースの無駄遣い」と評しました。
2010年にFlash非搭載のAppleのiPadに対してクローズドソースのWebミドルウェアをAndroidタブレットの目玉として活用しようと考えていた当時、Flashの熱心な支持者だったGoogleですら、Flashという根深い悩みから距離を置くために多大な努力を払ってきた。
GoogleがFlashに対する新たな見解を示せたのは、Adobe FlashをAndroidとそのウェブブラウザに深く統合しようと試みた苦い経験を経てのことでした。Googleは、Flashがモバイルデバイスに適さないというAppleの見解が間違っていたことを証明するどころか、AndroidにFlashを組み込むために長年費やしてきたエンジニアリングの努力が無駄だったという明確な証拠を示しました。
数億台の Android デバイスは、一部の Flash コンテンツを再生できるという利点を得たとされているが、その代償として、昨年 Bluebox Security によって発見された「Fake ID」エクスプロイトの深刻なマルウェア ベクトルなど、大規模なセキュリティ ホールを含む深刻なソフトウェア欠陥に悩まされることになった。
これほどまでに軽蔑されているにもかかわらず、Flashは依然として至る所で使われています。Flashの警告をオンにしてウェブを閲覧すると、驚くほど多くのウェブサイトがFlash Playerプラグインの読み込みを要求してきます。再生できる動画も、ウェブレットゲームも、大げさなナビゲーションアニメーションもないのに、特に理由がないのにです。ウェブ上のFlashは、アメリカにおける高果糖コーンシロップのようなもので、広く嫌われているにもかかわらず、避けるのは非常に困難です。
そのため、Adobe に Flash のサポートを中止するよう求めるセキュリティ専門家やプラットフォームベンダーの声が大きく高まっています。
AndroidはFlashによく似ている
AndroidにFlashを無理やり組み込むのは良いアイデアだと考えたGoogleのエンジニアとプロダクトマネージャーが、Androidの残りの部分も開発しました。皮肉なことに、GoogleはAndroidのロゴに、通常は副鼻腔炎の分泌物のような不気味な色で描かれたロボットのロゴを採用しています。
Android のあらゆる側面に対する配慮の欠如は明らかに表れています。このプラットフォームは現在、世界最大の有害なマルウェアの落とし穴となっていますが、インターネットに接続するだけで Windows PC が自動的にマルウェアやウイルスに襲われることが保証されるほどひどいゴミのプラットフォームを構築したことで Microsoft が多大な非難を浴びたことを考えると、これは疑わしい成果です。
Androidは最近、出荷台数における「人気」だけでなく、プラットフォームとしてのセキュリティの低さにおいてもWindowsを上回りました。一連の重大な脆弱性(Flashによって悪化しましたが、決してFlashのせいだけではありません)から始まった状況は、最近発見された脆弱性「Stagefright」によって、悪意のあるテキストメッセージ1通で事実上すべてのAndroidデバイスが乗っ取られるほどに悪化しました。
RedHat LinuxからApple自身のiOSやOS Xに至るまで、他のプラットフォームにも脆弱性は存在します。主な違いは、Appleのような本格的なエンタープライズソフトウェアベンダーは、パッチをリリースし、あらゆるユーザーに配布することに熱心に取り組んでいることです。Appleは長年にわたり、3~4年前に発売されたiPhone、iPad、Mac、場合によってはそれよりずっと前に発売された製品に対して、潜在的に悪用される可能性のある脆弱性を修正してきました。これにより、発見された脆弱性を悪用する悪意のあるコードが書かれる前に、Appleユーザーを攻撃から守ることができています。
他のモバイルプラットフォームはそうは言えません。Symbian、webOS、BlackBerry、Windows Mobile、そして特にAndroidは、既存の携帯電話ユーザーへの新しいソフトウェアパッチの配布において、いずれもひどい対応をしてきました。Android以前から、携帯電話向けのセキュリティアップデートパッチの配布において悲惨な実績を残してきたハードウェアベンダーは、Androidの脆弱性を迅速に修正するという責任を放棄し続けています。
GoogleがAndroidの既知の欠陥を修正しようと努力したとしても、ハードウェアベンダーは既存ユーザーへのパッチの迅速な展開にほとんど関心を示していないようだ。これは主に、現在使用されている数万種類ものわずかに異なるAndroidモデル間でパッチを微調整して動作させる複雑さに起因する。さらに、モバイルキャリアは、各キャリアが取り扱う多数のハードウェアモデルに独自のカスタマイズを施しているため、Androidパッチの配布を複雑化させる独自の障害を自ら作り出すことも少なくない。
自称 Android ファンの Lorenzo Franceschi-Bicchierai 氏は最近、Vice Motherboardに記事を寄稿し、Android のずさんなセキュリティ状態を嘆き、「Android ユーザーは、アップデートや新しいオペレーティング システムのバージョンを取得する際、基本的に通信事業者や携帯電話メーカーの言いなりになっている」と指摘しました。
同氏は、セキュリティ研究者ニコラス・ウィーバー氏の削除されたツイートを引用し、「Windowsのパッチが、ユーザーに届く前にデルとISPを経由しなければならなかったらどうなるか想像してみてほしい。そして、どちらも気にしない。それがAndroidだ」と述べた。
Androidのセキュリティ問題はFlashよりも深刻
実際、Androidのセキュリティ問題は、AdobeのFlashという、絶えずアップデートされるゴミソフトウェアよりも深刻です。ブラウザのFlash Playerを最新の状態に保つのは面倒ですが、少なくとも、使用を強いられるたびに新しいソフトウェアアップデートを何度もインストールすることに抵抗がなければ、それは可能です。
Androidでは、独自のコードベースをメンテナンスし、定期的に新しいカーネルを自分でコンパイルできるほどの熟練エンジニアでない限り、基本的なセキュリティさえ実現できません。たとえそうであったとしても、問題はあります。多くの場合、Googleはキャリアやそのハードウェアパートナーと同様に、ユーザーの問題を気にかけないのです。
たとえば、Google の Android WebView は、Flash を深く統合しようとする同社の取り組みによって汚染されており、1 月にコードに重大な欠陥が多数あると公表された時点で Android ユーザーの 60 % の大多数がその影響を受けたにもかかわらず、何億人ものユーザーに対して未だに修正されていません。
この問題が広く報道されてから 6 か月が経ち、Google による新しいバージョンの Android ソフトウェアの採用数は引き続きゆっくりと増加しているものの、Google Play をアクティブに使用しているAndroid インストールベースのほぼ半数が、Google が修正を拒否している WebView の重大な欠陥に対して依然として脆弱な状態が続いています。
もしFlashに深刻な欠陥が山ほどあり、それがユーザーの大多数に影響を与えていたとしたら、Adobeはユーザーがいずれ新しいコンピュータを買うだろうと期待して、その修正を軽視したと想像してみてください。Androidの世界以外では、そんなことはとんでもないことです。Androidの世界では、それは当たり前のことなのです。
Androidのセキュリティ問題はGoogleの設計によるものだ
Androidは、ユーザーを顧みないパートナー企業によって、単にきちんとメンテナンスされていないだけではない。Googleは、設計上、Androidユーザーを高いリスクにさらすような立場を常々取ってきた。何も問題が起きないことを軽率に期待しているのだ。これはAndroidのコアポリシーにも顕著に表れており、しばしばAppleに対するイデオロギー的な軽蔑に基づいて策定されている。モバイル端末向けFlashの採用という、Googleの驚くほど愚かな行為はその一例に過ぎない。Googleは、設計上、Androidユーザーを高いリスクにさらすような立場を常々取ってきた。何も問題が起きないことを軽率に期待しているのだ。
Androidのイデオロギー的なオープンソースの自由という概念の根底にあるのは、URLリンク、NFC、あるいは最近ではGoogleがAppleに対抗するために開発したiBeaconに匹敵する新プロトコル「Eddystone」などを介して実行可能ソフトウェアが気軽にインストールされることをブロックするようなセキュリティポリシーをデバイスに必要としないという考え方です。このプロトコルは、ランダムなBTLEデバイスがモバイルデバイスにURLを送信できるようにするものです。まるでGoogleがAndroidを安全でないものにしたいかのようです。
Googleは当初から、Androidの「自由」の例として、事実上どこからでもソフトウェアをダウンロードできるというアイデアを推奨してきました。しかし現実には、「オープンアプリストア」はセキュリティの観点から見ると、ブラウザにFlashを組み込むのと同じくらい無謀です。存在するモバイルマルウェアのほぼすべてがAndroid向けに書かれている主な理由は、ほとんどのAndroidデバイスがどこからでもソフトウェアをインストールできる、寛容なセキュリティポリシーを悪用してマルウェアを配布するのが驚くほど簡単であるという単純な事実です。場合によっては、ユーザーがソフトウェアがインストールされていることさえ意識しないこともあります。
昨年、GoogleのAndroid部門責任者であるサンダー・ピチャイ氏は、「もし私がマルウェア専門の会社を経営していたら、Androidにも攻撃を仕掛けるだろう」と述べ、同プラットフォームのマルウェア問題は主にAndroidの普及によるものだと示唆し、マルウェアだらけで悪名高いMicrosoftのWindowsプラットフォームとの類似点を指摘した。
もしAndroidとWindowsだけが世界で約10億人のユーザーを抱えるプラットフォームだとしたら、この考えは信じられるかもしれない。長年にわたり、PC市場におけるAppleのMacのシェアが比較的小さかったため、MacがPCの一定割合に達すると、たちまちマルウェア問題が蔓延するだろうという考えが根強く残っていた。
しかし、AppleのiOSはまもなく出荷台数でWindowsを追い抜く勢いを見せています。一般的なモバイルデバイスにはAndroidの何らかのバージョンが搭載されているものが多いものの、Appleはユーザーの大半を1年未満の最新バージョンのiOSに維持できるため、1~2年前のAndroidよりもiOS 8を搭載したデバイスの数が多いことになります。Appleには数億人のiOSユーザーと数千万人のMacユーザーがいますが、AndroidやWindowsのような大規模なマルウェアの問題は抱えていません。
これは、マルウェアが単なる人気による避けられない副産物ではないことを明確に示しています。他の捕食者と同様に、マルウェア作成者は群衆だけでなく、脆弱な集団を狙います。iOSの脆弱性を修正し、iOSユーザーを最新の状態に保ち、iOSアプリのセキュリティを確保するというAppleのセキュリティポリシーは、iOSがAndroidと同じくらい危険であるかのようにほのめかす、メディアによる欺瞞的な恐怖記事の報道を阻止していません。しかし、iOSを狙ったマルウェアを作成して商業的に利益を得ることは事実上不可能になっています。
一方、AndroidやWindowsユーザーを騙したりスパイしたりすることで、莫大な利益を得られる可能性があります。AndroidやWindowsユーザーをスパイするためのソフトウェアはインターネット上で公然と販売されていますが、iOS向けの同様のツールは、スパイの被害者がスマートフォンをジェイルブレイクしない限り、法執行機関でさえ入手できません。
FinSpyマルウェアは脱獄なしではiOSに感染できない
これは、iOS が悪意のあるハッカーにとって明らかに価値のあるターゲットである一方で、過去の攻撃ベクトルが排除またはブロックされるにつれて継続的にターゲットを設定したり再ターゲットを設定したりするのに実質的に費用がかかりすぎるほどに Apple によってプラットフォームが保護されていることを示しています。
Googleは、既知の問題に対する大多数のユーザーを無防備なまま放置し、ユーザーを搾取して利益を得ることを容易にしてきました。そのため、数億人のiOSユーザーは、飢えた捕食者の目には、素早く移動する魚の群れのように見えます。一方、Androidユーザーは、人口の半分以上が足が不自由で、どんなに怠惰な攻撃者からでも逃れられないカリブーの群れのようなものです。iOSは厄介な標的ですが、Androidは簡単に倒せるのです。
Androidのユーザー層はGoogleにとって確保する価値がますます低くなっている
Androidのマルウェア対策状況を複雑化させているのは、iOSが既に市場で最も多くのユーザー層を占めているという事実です。Appleユーザーは最も多くの買い物をし、最も多くのアプリを購入し、最も多くのウェブサイトを閲覧しており、広告主にとってより価値のある存在です。Androidのマルウェア問題は、プラットフォームの最も熱心なファンの間でさえも反発を引き起こし続けています。そのため、残された貴重なユーザーが唯一安全なプラットフォームであるiOSへと流れていくにつれ、その価値比率はますますiOSに有利になるでしょう。
その結果、Googleは維持・サポートすべき価値の低いユーザーを抱えることになるでしょう。この移行は単なる概念上の話ではありません。Appleの最新iPhone 6はAndroidから記録的な数の新規ユーザーを獲得しましたが、Android最大のライセンシーであるSamsungは、数四半期にわたって大幅な収益減少を経験しています。他のAndroidベンダーは、持続可能な利益を上げているどころか、損益分岐点に達している企業はほとんどありません。
しかし、大量出荷により最終的にはAppleがマルウェア危機に見舞われる運命にあると一貫して報じてきた同じ情報源が、今ではAppleが破滅の瀬戸際にあり、来年のiPhoneはユーザーを惹きつけるのに苦労するだろうと心配している。この考えを裏付ける証拠は何もないのに。
まるで評論家やイデオローグたちは、Android の言い訳をすれば問題は消え去り、Apple にとっての新たな破滅的大惨事を作り出して成功を台無しにし、自分たちの考えが実現するまで同じことを繰り返すことができれば、と考えているかのようだ。
それは過去10年間彼らにとってうまく機能していない戦略です。
