Oligur

• ニュース

わずか数週間の間に複数の危険な脆弱性が発見された後、Androidのセキュリティ（あるいはその欠如）が大きな話題となりました。Googleは、Androidデバイスの95%を攻撃に対して脆弱にしていたStagefrightの脆弱性を迅速に排除しましたが、その後も新たな脆弱性が次々と現れています。

今、ファンたちは、これらの欠陥がどのようにしてAndroidの一般公開版に紛れ込み、世界中の10億人以上のユーザーのセキュリティを侵害したのか疑問に思っている。Googleは、この脆弱性を阻止するためにもっと多くの対策を講じているのだろうか？そして、ハードウェアパートナーは自社のソフトウェアの脆弱性を修正するために、できる限りのことをしているのだろうか？

今週の Friday Night Fight に参加して、  Cult of Android と Cult of Mac がこれらの質問やその他のことについて戦いましょう。

Luke Dormehl (ライター、  Cult of Mac ):  Android を擁護するように言って気分を害してしまい申し訳ないのですが、私が長い間議論したいと思っていたトピックがあります。それはセキュリティです。

最近、マルウェアとセキュリティに関する懸念がニュースで頻繁に取り上げられています。ご存知の通り、特に大きな問題はStagefrightの脆弱性です。これは、攻撃者が悪意のあるMMSを1通送信するだけでAndroidデバイスに侵入できる脆弱性です。これは、Android 2.2から5.1を搭載したデバイスの95%に影響を与えた、想像を絶するほど深刻なセキュリティ欠陥でした。

誤解しないでください。iOSとMacにはこれまでもセキュリティ上の欠陥がいくつかありましたが、Androidの状況ははるかに深刻です。さらに深刻なのは、Googleが欠陥への対処に意欲的であるように見えても、Androidの悪夢のような断片化問題により、OEMメーカーが必ずしもユーザーに転嫁する価値があると判断できないことです。

この告訴についてどう思いますか?

キリアン・ベル（ライター、  Cult of Android）：  Androidのマルウェア問題には、何らかの対策を講じる必要があることは否定できません。Googleは、Stagefightのような脆弱性を悪用して危険な動作を引き起こす可能性のある穴を塞ぐために、より一層の努力を払う必要があります。また、ハードウェアパートナー各社も、最新端末のユーザーだけでなく、すべてのユーザーに修正プログラムを提供するために、より一層の努力を払う必要があります。

しかし、この問題は無視されているわけではない。Google、LG、Samsungは既に、Androidを可能な限り安全にするために、月例セキュリティパッチを近日中に提供し、問題が発生したらすぐに修正すると発表している。他のメーカーも良識があれば、同様の対応を取るはずだ。

Androidは巨大なプラットフォームであり、ユーザーに自由を与えるように設計されているため、常に標的となるでしょう。WindowsがOS Xよりも常に大きな標的であったのも同じ理由です。しかし、セキュリティが強化されれば、攻撃者は確実に攻撃を思いとどまることができるでしょう。

LD:  Androidがダメだって意見が一致してよかった。今日はもう終わりにして、コーヒーでも飲みに行きませんか？

KB： あまり興奮しすぎないようにしましょう。これは深刻な問題ですが、報道を読むと、実際には状況がもっとひどいと思わざるを得ません。

Stagefrightは約95%のAndroidデバイスに影響を与える可能性がありましたが、この脆弱性を発見したのはセキュリティ専門家であり、他人のヌード写真を盗もうとする10代のハッカーではありません。つまり、攻撃者がこの脆弱性を利用してスマートフォンにアクセスしたわけではないということです。さらに、GoogleはStagefrightが公開される前にこの問題を認識し、修正に着手していました。

こうしたことがAndroidのセキュリティを高めています。どのプラットフォームにも欠陥はつきものです。それらが世に出回る前にすべてを排除することは不可能です。そして、より多くの欠陥が検出され、排除されるにつれて、プラットフォームはより安全になります。

iOSの各バージョンには、それなりの欠陥が潜んでいることも忘れてはなりません。Appleユーザーにとっては幸いなことですが、それらの欠陥がマルウェアや悪意あるアプリにつながることは滅多にありません。しかし、脱獄はどれもiOSの欠陥を悪用し、本来は遮断されるべきシステムの一部にアクセスしようとします。

LD： 確かにその通りですが、本当に、適切な人が発見したから大丈夫だと言うのは、言い訳になるでしょうか？数週間前、家の裏口のドアを強く押すと開けられることに気づきました。鍵がかかっているはずなのに。泥棒ではなく、自分で発見してよかったと思っていますか？もちろんです。もし新しく設置したドアで同じことが起きていたら、次回も新しい業者に依頼したいと思うでしょうか？もちろんです。

全く問題のないものは存在しないというのはその通りです。企業が利用を選択したのであれば、無線アップデートが優れている理由の一つです。しかし、iOSユーザーがセキュリティを過大評価しているという考えはばかげています。これはAndroidに大きな穴であり、多くの人が選択肢があるにもかかわらずAndroidを敬遠する理由です。確かに、ある程度知識のあるユーザーであれば、アプリのインストール時に注意したり、SMSがフィッシング詐欺かどうかを注意深く確認したりすることで、これらの問題を回避できる場合が多いでしょう。しかし、そうする必要はないはずです。

これはAndroidのオープン性へのアプローチにおける根本的な問題です。誰でも開けられるドアのように、本質的に安全ではありません。

KB: 住所は何でしたっけ?

重要なのは、バックドアが他人に発見されて深刻な問題になる前に修正できるということです。GoogleがStagefrightを攻撃者に利用される前に修正できたのと同じです。しかし、あなたが怪しいバックドアに気づくのにこれほど時間がかかったのなら、Googleの開発者がユーザーに出荷する前に何百万行ものコードに含まれるすべての欠陥を把握できると期待できるでしょうか？それは不可能です。

iOSユーザーがこの問題を大げさに騒いでいると言っているのではありません。ほとんどの人が大げさに騒いでいると言っているのです。Androidの熱狂的なファンでさえ、この問題のせいでAndroidプラットフォームに背を向けています。私はこの問題を軽視しているわけではありません。修正が必要な問題であることは認めています。ただ、Googleがこの問題に取り組んでおり、Androidを可能な限り安全にするために今後も取り組み続けるだろうということを指摘しているだけです。

繰り返しになりますが、iOSにも「大きな穴」は確かに存在します。ただ、iOSと同じように悪用されるわけではありません。多くの悪質アプリがCydiaに侵入し、ジェイルブレイクされたデバイスで問題を引き起こしてきましたが、影響を受けるユーザーが少数であるため、あまり耳にすることはありません。

Google がこの問題を無視しているのであれば、人々がなぜそんなに怒っているのか理解できるのですが、実際はそうではありません。

もう一つ指摘しておきたいのは、Android初心者でも安全を確保するのは驚くほど簡単だということです。信頼できないソースから怪しいアプリをダウンロードしたり、安全でないWi-Fiネットワークに接続したりしなければ、大丈夫です。

LD： 被害者を責めているように聞こえます。結局のところ、これは解決が必要な問題です。しかし、私たちが耳にする約束にもかかわらず、未だに解決されていません。モバイルマルウェアの99%はGoogleによるもので、これは実に恐ろしい統計です。家の話に戻ると、鍵のない家を持つ方が鍵を買うより安いので、我慢する人もいるでしょう。しかし、だからといってそれが許されるわけではありません。

では、読者の皆さんに決めてもらいましょう。この討論会で誰が勝ったと思うか、そしてなぜ私が勝ったと思うかを、ぜひ下のコメント欄に書いてください。

Friday Night Fights は、Apple と Google、iOS と Android のどちらが優れているかをめぐって、2 人の容赦ない喧嘩屋が死ぬまで戦う (または少なくとも意見が合わないことに同意する) 毎週のデスマッチ シリーズです。