「Android」セキュリティ問題と情報制限--グーグルとT-Mobileがとった対応の妥当性

　顧客にセキュリティの脆弱性について話をする場合、顧客への警告と攻撃の誘発は紙一重のものとなる。だが、GoogleのAndroid OSに対応した初の携帯電話「T-Mobile G1」に関して言えば、GoogleとT-Mobileの対応は、情報公開の部分に不適切さがあると思える。

　筆者は、G1のレビュー用のモデルをテストしており、最初のアップデートを米国時間11月1日、2番目のアップデートをその1週間後に受け取った。この2つのAndroid修正パッチの中身については、うるさく問い合わせをして1週間以上待ち続けた結果、Googleからようやく聞き出すことができた。

　一方、T-Mobileは口を閉ざしたままだ（同社の対応については、コメントを待っているのだが）。

　筆者は無分別に修正パッチを無視するタイプの人間ではない。もちろん、ダウンロードする「Adobe Reader」「Microsoft Windows」「Firefox」のセキュリティ修正パッチに不具合が1つもないと信じているわけではないが、セキュリティが改善される見込みがそれなりにあるからこそインストールする。

　しかしAndroid携帯電話に関しては、修正パッチがセキュリティ関係のものなのかさえ分からなかった。ましてやどのくらい重要なのか、実際に何が行われるのかなど見当も付かない。せいぜい、インストールしたOSのビルドは何なのかを突き止め、そのわずかな情報を元にT-MobileのフォーラムやAndroidのバグ報告システム、関連ウェブサイトを調べ、断片情報をつなぎあわせて全体が見えるか確かめたという程度だ。

　要するに、顧客にとって一番ためになることをしようとしているのだとしても、質の高い情報提供は義務であると思う。情報が提供されていれば、ユーザーはチェスで手駒をとりあげられたときのような気分を味わわずに済むし、理にかなった製品の選択ができる。やっかいなバグが一掃されたり、便利な機能が追加されたりしたときに喜んだりもできるのだ。

　ユーザーを大切にしているという評判をめったに聞かないMicrosoftでさえ、常に最新情報を発信し続けるという点ではよくやっている。毎月提供されている「月例パッチ」について、次回アップグレード内容は、数日前に通知されている。

状況の混乱

　GoogleのAndroidセキュリティ担当チームのRich Cannings氏は、Googleは修正パッチを作成するが、それらをユーザーに配布し、ユーザーとコミュニケーションをとるのはT-Mobileに任せていると述べた。

　「少なくとも、使用されているすべての携帯電話のアップデートが必要となるまでは問題を公表するつもりはない」とCannings氏は述べた。

　T-Mobileのサイトには、G1のユーザーをランダムで選び、ワイヤレスでアップデートを提供するのに数日がかかると記載されている。全員がアップデートできるようになるまで詳細を公開しない主義だとすれば、アップデート自体にアップデートの詳細を入れるのは実際的ではない。最初の方に受け取った人たちは、詳細をオンラインで簡単に公開できる。

　これに対して、Microsoftは、すべてのコンピュータに修正パッチが適用される前でも、詳細を一般公開するという異なるアプローチをとっている。