米当局、「Android」旧バージョンのセキュリティを懸念

　米連邦捜査局（FBI）と国土安全保障省（DHS）は、連邦、州、市レベルの法執行機関の職員や幹部がモバイルOS「Android」の旧バージョンを使用することによって直面する脅威に対し、認識を強めている。Public Intelligenceが入手した文書で明らかになった。Public Intelligenceは、政府関連情報を一般に向けて公開することに注力する団体だ。

　この文書によると、世界全体のAndroidユーザーの44％以上が現在も「Android 2.3.3」から「Android 2.3.7」の旧バージョンを使用しており、これらのバージョンにはそれ以降のバージョンでは修正されているセキュリティ上の脆弱性が依然として含まれているという。同文書は機密指定ではないが「公用限定」扱いとなっており、警察、消防、救急医療、保安要員向けに作成されている。

　文書では、旧バージョンのAndroidはおろか、Androidをネットワーク上で利用している米政府機関の数は記載されていない。

　文書には、Androidが引き続き「その市場シェアとオープンソースアーキテクチャのために、マルウェア攻撃の主要な標的」とされていると記されている。また、政府職員によるモバイル端末の利用が増加していることから、モバイル（OS）にパッチを適用し、最新の状態にしておくことがかつてないほど重要になっている」としている。

　以下は、文書からの抜粋である。

• モバイルマルウェアによる脅威の79％がAndroidを標的としており、一方、「Symbian」向けは19％である。「Windows Mobile」「BlackBerry」「iOS」などのOSは、いずれも1％未満となっている（数値の出典は不明）。
• SMSテキストメッセージは、旧Android OS上で現在出回っている悪意のあるアプリケーションの「半分近く」を占めている。ユーザーは所有する端末にAndroid向けのセキュリティスイートをインストールすることで、このリスクを軽減できる。
• ルートキットも大きな脅威だ。FBIとDHSが作成した文書には、2011年後半に、よく使われるルートキットである「Carrier IQ」が多数の端末にインストールされており、そうした端末にはAppleの「iPhone」（Appleはのちに同ソフトウェアを削除した）や数十種類のさまざまなAndroid端末が含まれていたと記されている。こうしたルートキットは検出されない場合が多く、ユーザーが知らないうちにユーザー名、パスワード、トラフィックのログが記録される可能性があり、政府のシステム環境において深刻なセキュリティリスクとなっている。
• 「Google Play」を装った偽ドメインのサイトがサイバー犯罪者によって作成されていると、同文書には記されている。これらのサイトは、Androidのアプリストアを模倣することでユーザーに偽の、あるいは悪意のあるアプリをインストールするよう誘導する仕組みになっている。FBIとDHSは、IT部門が認定したアップデートだけを許可すべきであるとしており、このことは、IT部門がバックエンドのモバイル端末管理サービスからセキュアなITポリシーを確保する必要があることを示唆している。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。