「Android」セキュリティ問題と情報制限--グーグルとT-Mobileがとった対応の妥当性 - (page 2)

　T-Mobileのフォーラムを探すと、Willという名前のT-Mobileの管理者からの投稿があるのが分かる。T-MobileがRC30修正パッチの送信を開始したことを裏付けるある投稿で、同氏は、「アップデートで何よりも大切なのは、アップデートのことを話さないことだ」と冗談を言い、修正パッチの内容については手掛かりしか提供しなかった。しかし、同氏はそれ以前の投稿ではもっと率直だった。

　Cannings氏は、Googleは最終的にはAndroidの脆弱性の全容を公表すると述べている。たとえば、セキュリティに関する発表は、自動的にセキュリティメーリングリストのBugtraqやFull Disclosureに送信されるという。

　しかし、そのプロセスは、T-Mobileが配布する修正パッチと同じスケジュールでは行われない。筆者がRC29修正パッチを受け取ってから本稿執筆時点で11日たっているが、「Android Security Announcements」グループにはいまだに、修正パッチの内容については一切掲載されていない。唯一の言及は、「Androidのセキュリティ修正パッチの発表について知りたい方は、『Google Groups』のAndroidセキュリティアナウンスを参照してほしい」という記載を含む、8月18日付の前置きだけだ。

　また、Androidはオープンソースであるにもかかわらず、セキュリティ修正は非公開で行われている。ユーザーが「reboot」（再起動）と入力しただけでG1携帯電話が再起動するルートコンソールのバグの報告後、GoogleのDan Morrill氏は、実際には秘密でも何でもないにもかかわらず、「セキュリティ上の問題であり、修正パッチが公開されるまで、この問題は伏せておく」と書き込んでいる。

　Googleは同社のブラウザ「Chrome」でも同様にセキュリティ上の問題を伏せており、アップデートは自動的にインストールされ、ユーザーにはプロセスを承認するかどうかの選択肢は与えられていない。ここでも、Googleが一番内容を把握しているのだから、ユーザーはGoogleの適切な対応を信頼していればよいといったアプローチをとっている。

気楽に考えるべきなのだろうか

　ここでふと疑問に思う。このいくぶん父親的な態度に対して腹を立てる筆者が間違っているのだろうか。将来、自動車エンジンのファームウェアや家庭用ワイヤレスネットワークルータ、汎用リモコン、インターネット対応のロボットペットのアップデートが提供されるのが間違いないとすれば、われわれは皆、セキュリティアップデートにもっと慣れる必要があるだろう。結局、セキュリティは重大な問題であり、脆弱性は、スパムが送信するボットネットなど、深刻な問題に直結する。筆者は、リラックスして、流れに身を任せるべきなのだろうか。