「Android」のセキュリティ脆弱性、グーグルが修正パッチを公開

　Googleは同社の携帯電話向けOS「Android」のパッチ配信を開始した。いかに迅速に対応できるかと、同社インフラがアップデートの配信とインストールにいかに有効に働くのかが、さっそく試されている。

　筆者がテスト機として利用しているAndroid携帯「T-Mobile G1」の場合、米国時間10月24日にソフトウェアの問題が発覚したときの処理よりは、このアップデートはスムーズだった。

　筆者のテスト機では11月1日午後、「システムアップデートがあります」というメッセージが表示され、ただちに開始するか後からかを選ぶことができた。アップデート開始のボタンをクリックすると、新しいソフトウェアのダウンロードが始まった。それが数分で終わるとインストールが行われ、再び問題なく動作するようになった。

　IT Worldが10月30日に引用したGoogle広報の発言によると、今回のパッチは大々的に報じられたAndroidのウェブブラウザのセキュリティ問題を修正し、ほかにいくつかの小さな変更を加えるものだという。

　Independent Security Evaluatorsの研究者であるCharlie Miller氏、Mark Daniel氏、およびJake Honoroff氏は、Androidのウェブブラウザにある脆弱性は深刻なものだとしていたが、Googleは、各問題をそれぞれのエリアに限定するAndroidの設計によって、問題の深刻さは軽減されていると語っていた。

　以前からGoogleは、セキュリティの脆弱性に関する「責任ある情報開示」と同社が呼ぶものをアピールしていた。これはつまり、攻撃者が脆弱性を利用する可能性を小さくするため、問題を公表する前に修正のための猶予期間をとることをいっている。製品を修復したいという企業側と、情報を公にしたいというセキュリティ研究者側との間には、長年にわたる緊張関係がある。これは1つには、攻撃者もまた脆弱性を見つけようとしているからだ。

　1日にGoogleにコメントを求めたが返答は得られなかった。