「10か月以上経過しても、脆弱性対策できないAndroid端末がある」……IPA、技術レポートで指摘
ブロードバンド
セキュリティ
注目記事
-
【デスクツアー】真似したい自宅デスク環境一挙公開!
-
「一太郎」、2005以降のシリーズ全般に脆弱性……バックドア攻撃をすでに確認
-
Javaランタイム、「JRE 6 Update 25」以前に脆弱性……JPCERTが注意喚起
/
検査時期は今年3月で、対象機種は、3月の時点で市販されていたAndroid端末14機種。検査は、「ドロイド・ドリーム」というウイルスを構成するプログラムの一部を用いて実施された。「ドロイド・ドリーム」は、2010年8月に発覚した脆弱性などを悪用するもので、検査では、このウイルスが悪用の対象とする2件の脆弱性への対応状況を確認した。
その結果、3月の検査時点で、AndroidOS自体は対策済みとなっていたが、実験では、これらの脆弱性に対策できていない機種が、14機種中11機種(約79%)もあることが判明した。さらに間隔をおき、6月に各機種の対策状況をAndroid端末販売元に確認したところ、対策できていない機種が、2機種残っていることも、あらたに分かったという。具体的な機種別の対応状況も公開されており、6月時点で「一部対策済み」となっているのは「003Z」(ソフトバンクモバイル)および「ISW11HT(HTC EVO WiMAX)」(au)の2機種だ。
これについて、IPAは「脆弱性が発覚してから10か月以上経過しても、脆弱性対策できないAndroid端末がある」と強調。Android OS自体が脆弱性のセキュリティパッチを提供した場合でも、Android端末のメーカーがそれぞれに独自仕様を加えてOSを搭載しているため、対応に時間がかかる傾向にあると指摘した。
今後IPAでは、スマートフォンの他に、脆弱性対策状況の実態把握が難しいと考える組込み機器などに対しても、独自に脆弱性検査などを実施していくことを検討している。
《冨岡晶》
特集
この記事の写真
/
