［米国］
グーグルの「Android」で脆弱性が発覚――携帯電話内の情報が盗まれるおそれ

グーグルは修正プログラムを開発中

（2008年10月28日）

　米国のセキュリティ・ベンダー、Independent Security Evaluators（ISE）は10月27日、米国Googleの携帯電話／モバイルOSプラットフォーム「Android」にセキュリティ上の脆弱性が存在することを明らかにした。この脆弱性はまだ修正されておらず、Android携帯電話のユーザーは情報を盗まれる可能性があると警告している。

　ISEによると、Androidには古いオープンソース・コンポーネントが含まれており、そこに脆弱性が存在する。同社の研究員が10月20日にこの問題をGoogleに通知したという。Google側も脆弱性があることを認識しているが、まだ同コンポーネントの脆弱性を修正していないと説明している。

　Androidを搭載している携帯電話は、今のところ台湾HTC製の「G1」のみだ。G1は、米国T-Mobileが10月22日から米国で出荷を開始した。今後は、米国Motorolaなども、Androidベースの携帯電話を市場に投入する見通しだ。

Androidを搭載している台湾HTC製の「G1」

　この問題を明らかにしたISEの研究員チャーリー・ミラー（Charlie Miller）、マーク・ダニエル（Mark Daniel）、ジェイク・ホノロフ（Jake Honoroff）の3氏は、Googleがこの脆弱性を修正するまで詳細な内容は明らかにできないとしたうえで、「悪意あるWebサイトにG1でアクセスすると、機密情報を盗まれる可能性がある」と警告している。

　「脆弱性を悪用すれば、保存されているパスワード、Webアプリケーション・フォームへの入力情報、クッキーなど、Webサイトが使用するあらゆる情報にアクセスできてしまう」（ミラー氏ら）

　ただし、Androidに組み込まれたセキュリティ機構のおかげで、ダイヤラーなどの携帯電話機能を直接制御するようなことはできないため、攻撃の範囲はあくまで限定的だという。

　脆弱性の発覚を受け、Googleは問題修正を急いでいる。「（当社は）T-Mobileとともにブラウザ・エクスプロイト（ブラウザの脆弱性を攻撃するコードなど）への対策に取り組んでおり、近日中にすべてのデバイスにソリューションを提供するほか、Androidプラットフォームの不具合にも対処する」

　またGoogleは、今回指摘された脆弱性の影響について、「ユーザーのセキュリティとプライバシーの確保は、Androidオープンソース・プロジェクトの最優先課題であり、今回の件がプロジェクトにマイナスの影響を及ぼすことはないと確信している」との見解を示している。ただし同社では、脆弱性を修正したアップデート・プログラムのリリース時期については明らかにしていない。

　今回Androidで見つかった脆弱性問題は、これからAndroidコミュニティが直面すると考えられるさまざまな困難を想起させるものとなった。

　オープンソースであるがゆえに、Androidという名のOSを搭載した携帯電話であっても、実際に搭載されているOSの中身は、携帯電話メーカー／通信事業者ごとに少しずつ異なる可能性が高い。このため、Androidで見つかった脆弱性に対しては、個々のメーカーや通信事業者の側で自社のAndroidバージョンがその影響を受けるのかどうかを判断し、さまざまな調整を図りながら修正プログラムをユーザーに配布しなければならないだろう。

(Nancy Gohring／IDG News Serviceシアトル支局)