グーグル、「Android」セキュリティレポート2015年版を公開--課題はパッチの適用

　Googleは2015年、「Android」向けセキュリティの取り組みを強化したが、同社のセキュリティ年次レポートでは、今後もパッチの適用が課題であり続ける可能性の高いことが明らかになった。

　2015年に発見されたバグ「Stagefright」を受けて、GoogleはAndroid向け月例パッチの公開とAndroidのバグ発見報奨金プログラムを開始した。

VRシステム「HTC Vive」レビュー（後編）--ルームスケールVRと「Chaperone」を体験

　どちらも、Androidのエコシステムにおけるセキュリティの状況にプラスの効果をもたらした。群を抜いて大規模なAndroidベンダーであるサムスンは、「Galaxy」の一部モデルをもっと定期的にアップデートするようになった。

　LG、BlackBerry、ソニーもこれにならった。しかし、Googleが「Android Security 2015 Year in Review」で指摘しているように、世界で利用されているAndroidデバイス6万モデルのうち、実際に定期的なアップデートを受け取っているのはごく一部にすぎない。

　Googleの報告によると、毎月のセキュリティアップデートを適用できるAndroidデバイスは全体の70.8％だったという。残りの29％はサポート対象外で、パッチを受け取ることもできない。

　Googleが2015年に資金の一部を提供した調査では、Androidデバイスの87％が、少なくとも1件の、発見されてから時間の経った深刻なセキュリティ危機にさらされているとして、端末メーカーを批判していた。

　Googleはレポートの中で、マルウェアまたは「潜在的に有害なアプリケーション（PHA）」は、「Google Play」からしかアプリをインストールしないユーザーにとってリスクが非常に低く、感染が検出されたのはこれらのデバイスの0.15％未満であることも強調している。同社によると、Google Play以外の場所でアプリをインストールしたデバイスは、マルウェアを仕込まれる可能性が約10倍高かったという。

　たとえばランサムウェアアプリは、ほとんどがGoogle Play以外の場所で配布されており、インストール全体の0.01％を占めるとGoogleは指摘している。

　2015年最大のマルウェアの脅威は、悪意のあるアプリ「Ghost Push」とその亜種によるものだった。Ghost Pushは、悪意のある他のアプリをユーザーの許可なくひそかにダウンロードするマルウェアだ。

　Googleは次のように述べている。「約7週間にわたり、Ghost Pushがインストールを試みた回数は、全世界のインストール試行数の最大30％に上った。全体として、当社がGhost Pushの亜種として分類したアプリは4万超が発見され、これらのアプリのインストール試行数は35億件超を記録した」

　Googleの推計によると、Ghost Pushアプリに感染したデバイスは約400万台とみられ、現在では、感染したデバイスの90％からGhost Pushを削除したという。

　Googleは感染したデバイスを10万台と見積もっており、クリーンアップの一環として、感染したデバイスからアプリを削除するために、セキュリティ機能「Verify Apps」を変更したという。