Googleは新たな投稿で、2017年に20億台のAndroidデバイスのセキュリティ強化に取り組んだ経緯を説明した。
Google Play プロテクト
Google Play プロテクトは、認定されたAndroidデバイスに搭載されているマルウェア対策ソリューションです。Play プロテクトは長年にわたりAndroidで「アプリの確認」サービスとして提供されてきました。Googleは2017年にこれをPlay プロテクトにリブランドし、Playストアアプリ内でより目立つようにしました。これは、Googleがデバイスの保護に取り組んでいることをユーザーに知ってもらうためであり、サードパーティ製のウイルス対策アプリが必ずしも必要ではないことを理解してもらうためです。
Play Protectは毎日500億以上のアプリを審査しています(これには、同じアプリを複数のデバイスで審査することも含まれます)。Googleによると、「潜在的に有害なアプリ」(PHA)の60%以上が機械学習アルゴリズムによって検出されました。
しかし、一部のアンチウイルス製品のレビューによると、これは十分ではないかもしれないとのことです。機械学習の最新技術では、特定のトレーニングタスクを実行するには依然として十分な規模のデータセットが必要です。つまり、アルゴリズムが特定の種類のマルウェアに対して自己学習するには、ある程度の時間がかかるということです。Play Protectは、その後初めて、新たに感染したデバイス上で同じマルウェアファミリーのインスタンスを検出できるようになります。
Playストアは依然として他のストアよりも安全
iOSとは異なり、AndroidではPlayストア以外のソースからアプリケーションをインストールできます。ただし、オープンソースアプリケーションのみを提供する代替アプリストアであるF-Droidなど、安全なソースからアプリケーションをダウンロードしていることを確信していない限り、これはリスクを伴う傾向があります。
Googleによると、Playストアからのみアプリをダウンロードしたデバイスは、他のソースからアプリをダウンロードしたデバイスと比較して、PHAに感染する可能性が9分の1にまで低下しました。Googleがこれを認識しているのは、PlayプロテクトサービスがPlayストアだけでなく、他のソースからダウンロードされたアプリもスキャンしているからです。Playプロテクトは、他のソースからのPHAの数を60%以上削減することにも貢献しました。
セキュリティアップデート
アップデートはAndroidにとってこれまで最大のセキュリティ問題であり、今後もそうあり続けるだろう。しかし、Googleは、同社とパートナー企業が昨年アップデートを受け取ったデバイスの数を30%増加させたと発表した。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
Googleは、Androidプラットフォーム向けのアップデートが提供されていないセキュリティ脆弱性は発見されていないと付け加えた。しかし、デバイスを毎月アップデートするメーカーは少数であるため、ほとんどのデバイスはアップデートを数ヶ月遅れて、あるいはそもそもアップデートが提供されていない可能性が高い。
Android Oreoの新しいセキュリティ機能
Android Oreoでは、他のソースからのアプリのインストールの安全性向上、非セキュアなネットワークプロトコルの削除、ユーザーによる識別子の制御強化、カーネルの強化など、様々な新機能が導入されました。オーバーレイAPIにより、マルウェア作成者が画面を乗っ取り、ユーザーが画面を閉じるのをブロックすることがなくなりました。
Android Oreoにおけるセキュリティ関連の最大の機能はおそらく「Project Treble」でしょう。これにより、ユーザーへのアップデートが迅速化され、ひいては頻度も向上する可能性があります。TrebleはAndroidのモジュール化を本質的に強化するため、OEMメーカーはアップデートのたびにすべてを一度にアップデートする必要がなくなります。しかし、Trebleのセキュリティへの影響は、Android OreoとProject Trebleを搭載した新しいスマートフォンがようやく登場し始めたばかりであるため、今年後半以降にようやく現れるでしょう。
セキュリティコンテストと報酬
セキュリティ研究コミュニティが Android のバグ発見に関心を持ち続けるように、Google は自社の Pixel スマートフォンを Pwn2Own コンテストで利用できるようにしたが、参加者は誰もそれを解読できなかった。
他のAndroidデバイスもハッキングされましたが、修正されていないAOSPソースコードでは脆弱性が機能しませんでした。つまり、OEMはAndroidに独自のカスタマイズや修正を加えることで、毎年リリースされるオープンソース版よりもセキュリティを低下させる傾向があるということです。
昨年、Android Rewardsプログラムは、Androidデバイスのバグを発見したセキュリティ研究者に128万ドルを支払いました。さらに、GoogleはTrustZoneとVerified Bootのエクスプロイトに対する報奨金を5万ドルから20万ドルに、リモートカーネルエクスプロイトに対する報奨金を3万ドルから15万ドルに増額しました。また、GoogleはPlayストアのアプリに深刻なセキュリティ脆弱性を発見した研究者に報奨金を支給するGoogle Play Security Rewardsプログラムも開始しました。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
