GoogleのAndroidセキュリティ責任者であるデイビッド・クライダーマッハー氏は、2017年のAndroidセキュリティレポートの発表に際し、インタビューで「Androidは競合製品と同等の安全性を備えている」と主張した。このレポートは、マルウェアや脆弱性攻撃からユーザーを守るためにあらゆる対策を講じているとユーザーに安心感を与えようとしている。問題は、Googleが自社プラットフォームであると主張する20億台のAndroidを安全に保護できていないことだ。
Googleは多くのことを主張している
クライダーマッハー氏の主張は、2017年のAndroidセキュリティ年次報告の発表をめぐるメディアツアーでなされたもので、2014年にグーグル前会長のエリック・シュミット氏がメディアに対し「当社のシステムは、アップルを含む他のどの企業よりもはるかに安全で暗号化されている」と自慢していたのとよく似ている。
それは当時も今も真実ではありません。多くのAndroidは、iOSでは何年も前からデフォルトで有効になっているフルディスク暗号化さえサポートしていません。
もちろん、シュミット氏は、後に明らかな虚偽と判明する大胆な発言を頻繁に行っていました。例えば、2011年には、サードパーティの開発者は2012年にはiOSよりもAndroidを優先するだろう、テレビの大多数はGoogle TVを搭載するだろうと主張しました。当時、メディアは彼の主張をあたかも事実であるかのように無批判に繰り返し報道しました。
Google は、数年にわたる恥ずべき大規模なセキュリティの欠陥、大規模なマルウェアの発生、悪質なスパイウェア、ハードウェアでサポートできるサブセットでさえ Android のフルディスク暗号化を破るアーキテクチャ上のエラーの後、Android が極めて安全であるという別の現実を売り込もうとしています。これらすべては、Android ユーザーを本質的に高いリスクにさらした Google の不注意なセキュリティ委任戦略によって悪化しています。
Google Play プロテクト
実際、Androidのセキュリティ問題の多くは、Googleがモバイルソフトウェアをあらゆるソースからロードできる「オープン性」という考え方から生じています。これは、App Storeのタイトルを厳選し、悪意のある、あるいは危険なタイトルが流通することさえ防ぐAppleとの大きな差別化要因です。Appleのキュレーションは、有害な下水が水道に流れ込むのを防ぐのに役立っていますが、AndroidにおけるGoogleのアプローチは、汚泥が水に悪影響を与えていることに気づいた後に、それをろ過しようとするようなものです。
Apple のキュレーションは有毒な下水が水道に流れ込むのを防ぐのに役立っているが、Android 向けの Google のアプローチは、汚泥が水道に損害を与えていることに気づいた後、自動機械学習を使用して汚泥を濾過しようとするものだ。
Google Play Protectのこの遡及的なセキュリティ対策は、Googleが悪質なAndroidアプリの流入を効果的に制御していないため、デバイス上での汚水ろ過を必要とします。しかし、バックグラウンドで別のろ過タスクを実行することは、既にパワー不足でパフォーマンスとバッテリー寿命に問題を抱えているデバイスにとって、さらなる負担となります。
しかし、Googleの最新のセキュリティレポートでは、「新たなPHA(マルウェアリスク)のインストールの約35%が、デバイスがオフラインまたはネットワーク接続が切断されたときに発生していることが判明しました。その結果、2017年10月にPlayプロテクトのオフラインスキャンを有効にし、それ以来1,000万件以上のPHAインストールを阻止しました」と述べられています。(PHAは、ウイルス、マルウェア、スパイウェア、ランサムウェアを指すGoogleの婉曲表現です。)
Google Play Protectは、パフォーマンスの低いAndroidにさらなる作業を追加
Google は、3,900 万件の不適切なタイトルを自動的に削除したと述べている。つまり、デバイス上でさらに 1,000 万件がフィルタリングされたということは、Google Play Protect が、Google Play でユーザーに積極的に配信していたものから 4,900 万件の不適切なダウンロードを絞り込むことに成功したということになる。
同社はまた、「Google Play からのみアプリをダウンロードしたデバイスは、マルウェアに感染する可能性が 9 倍低い」とも述べており、これはつまり、Google ストア以外でアプリをダウンロードしたユーザーは、昨年だけで合計 4 億 4,100 万件の不正ダウンロードを経験し、Google Play プロテクトによって Google Play からの不正ダウンロードが除外されたのはわずか 11 パーセントだったということを意味する。
とらえどころのないAndroidセキュリティアップデート
Googleのセキュリティレポートは次にセキュリティアップデートについて触れ、「ユーザーのデバイスで実行されているAndroidのバージョンが最新かつ安全であることを確認するために、デバイスメーカーとも提携しています。年間を通して、セキュリティアップデートのリリースプロセスの改善に取り組み、2016年と比較して30%多くのデバイスがセキュリティパッチを受け取りました」と述べています。
セキュリティパッチの改善はどれも素晴らしいことですが、Googleが実際にセキュリティアップデートを受け取っているユーザー数を測る有用な数値を提供しなかったことは注目に値します。先月、SecurityLabはモバイルOSプロバイダーのプロファイルを作成し、ソフトウェアパッチの配布にかかる時間と、各機種へのパッチ配信期間をまとめましたが、その結果はGoogleのAndroidライセンシーにとって好ましいものではありませんでした。
珍しいAndroidアップデート
Googleとそのパートナー企業は、Androidのユーザーへの完全なアップデート提供という点でも、十分な成果を上げていない。リリースから4ヶ月でiOS 11はiOSデバイスの65%に導入されたが、AppleのインストールベースのうちiOS 10より前のバージョンを使用しているのはわずか7%だった。Androidでは、Oreoを使用しているのはわずか1%、iOS 10時代のNougatを使用しているのはわずか28%だった。現在使用されているスマートフォンの約70%は、2年以上前のAndroidバージョンを使用している。
Googleは、Google Play開発者サービス(Android OSの古いバージョンでもユーザーにプッシュできるソフトウェアパッケージ)を使用して、一部の機能アップデートの提供に取り組んできました。しかし、診断テストの結果、このソフトウェアはAndroidデバイス上の他のどのコードよりも不安定でクラッシュしやすいことが判明しました。また、Google Playでは対処できないセキュリティ上の問題や機能も数多く存在します。
一つは暗号化です。iOS 8以降、すべてのiOSデバイスはフルディスク暗号化(FDE)を搭載して出荷されていますが、GoogleはMarshmallowまでFDEのデフォルト有効化を義務付けていませんでした(主な理由は、ほとんどのAndroid端末が暗号化に対応できるほど高速ではなかったためです)。さらに、この要件は新規デバイスのメーカーのみに適用され、既存ユーザーへのOTA(Over The Air)によるAndroidアップデートには適用されませんでした。OTAアップデートでは暗号化はオプションのままでした。
つまり、ほとんどのAndroidユーザーは、他のユーザーがデータを復元できないように、デバイス上のすべてのブロックを手動で消去し、暗号化する必要があるということです。このセキュリティ上の欠陥の影響を受ける人のほとんどは、おそらくそのことを知らないでしょう。iOSでは、盗難されたスマートフォンをリモートで消去するか、デバイスをリセットするだけで、デバイスがデフォルトで暗号化されているため、データの復元を完全に不可能にすることができます。
GoogleのAndroidソフトウェアアップデートポリシーの不備、そして想定されるアップデートと実際の効果の乖離を示すもう一つの実例は、グラフィックスだ。GoogleはAndroid 5.0でOpenGL ES 3.1のサポートを追加した。現在、理論上はAndroidユーザーの80%以上が利用できるはずであるが、Googleの統計によると、実際にサポートしているデバイスはわずか18.3%にとどまっている。これは主に、Googleがライセンシーが使用するグラフィックスハードウェアを制御できないこと、そして暗号化、生体認証データの保存、その他のセキュリティの重要な側面をこれまでほとんど制御できなかったことが原因である。
対照的に、Apple は、データを安全でない状態で保存したり、機能しない「顔認識」セキュリティシアターを備えた Samsung のような安価な指紋認証実装を実験するのではなく、自動的に暗号化されるだけでなく、Touch ID や Face ID によって完全に保護されたインストールベースを持っています。
GoogleはAndroidが安全だと主張できるが、Androidのハードウェアを制御できない。
同時に、これはAppleが何年もグラフィック標準の発展を弱々しく推し進め、実質的な進歩がほとんどないという状況ではなく、独自に高度に最適化されたMetal APIを開発し、iOSとMacのほぼすべてのユーザーに迅速に普及させることができることを意味します。iOS 11のサポートは、Metalのサポートを意味します。
Googleは、既存のハードウェアへの新しいアップデートの展開を容易にすることを目的として、Android O向けに新しいアーキテクチャを開発しました。「Treble」と呼ばれるこの機能は、断片化されたハードウェアに関連する低レベルドライバと、その上位にあるコアOSを分離します。このモジュール設計により、より幅広いデバイスで高レベルのAndroidソフトウェアのアップデートが容易になります。ただし、ハードウェアメーカーがTrebleをハードウェアで有効にするには、サポートが必要です。
注目すべきは、Googleが自社のNexus 5x、6P、Pixel CでTrebleをサポートしなかったことです。これは、Trebleをサポートする仕組みを構築した後も、Googleが自社製品のサポートを継続する予定がないことを示唆しています。Googleがファン向けに製造するスマートフォンにTrebleを実装しないのであれば、サードパーティは、実際に大きな違いが出るとすれば、買い替えを阻む可能性があるだけなのに、わざわざTrebleを実装するでしょうか?
450万画素で他の2Bのアンドロイドがいかにひどいかがわかる
「我々は長らく言い続けてきたが、Android のオープン性は我々のセキュリティ保護の強化に役立つ、というのはこれまで以上に真実である」と Google のセキュリティ レポートは述べているが、Android がほぼ 10 年間「オープン」であったにもかかわらず、iOS よりもはるかに深刻なセキュリティの欠陥、アーキテクチャ上の欠陥、マルウェア感染に悩まされてきたという事実を Google は認識していないようだ。
GoogleのPixelは、セキュリティを含む多くの分野でAndroidの他の部分がどれほど悪いかを示している
Googleはまた、重大な脆弱性を発見・報告した開発者に数百万ドルを支払ってきたAndroid Security Rewardsプログラムを宣伝した。さらに、「2017年のMobile Pwn2Ownコンテストでは、Google Pixelに侵入に成功したエクスプロイトは1件もなかった」と自慢した。Pixelは商業的な利用実績がなく、大規模なユーザーベースもないスマートフォンであり、おそらく既にセキュリティ上の脆弱性に対する代償を払っていると思われる。
これが実際に示しているのは、セキュリティの評判を重視するベンダーによってセキュリティが確保され、定期的にパッチが適用されるという、Google の「Pure Android」Pixel ビジョンが、実際に世界中で使用されている他の 20 億台の Android を代表するものではないということだ。
