第870回：Androidセキュリティパッチレベル とは

　「セキュリティパッチ」とは、脆弱性を改善するプログラムやデータのことを指す言葉です。脆弱性を、セキュリティ上の「穴」、改善するプログラムを、継ぎ当て、つまり「パッチ」にたとえているわけです。

　Androidも、セキュリティの向上のために、日々、さまざまな人がその欠陥を指摘したり、パッチを作成したり、そのパッチが正しく動作する確認したりしています。そうした経緯を経て、対策として確認されたパッチが世に公開されます。

　米グーグルでは、2015年8月から毎月一回、セキュリティパッチをまとめて、アップデートを実施しています。

　これらは、Androidのオープンソース開発プロジェクトである「AOSP」向けに公開されます。また、Androidのリファレンスモデルと言えるNexusシリーズやPixelシリーズ向けにも公開されます。

　Androidスマートフォンを手がけるメーカーも、セキュリティパッチの内容を検証し、自社の製品に合わせて配信しています。これによって、各社のAndroidスマートフォンもセキュリティ上の弱点から守られているわけです。

Androidでは毎月公開

　Androidスマートフォンのセキュリティパッチのレベルは、「設定画面」から確認することができます。

写真はAQUOS Sense liteのセキュリティパッチレベル。6月1日付けだ

　セキュリティ上の問題といってもそのレベルは、さまざまです。

　たとえば、リモート上から任意のデータをスマートフォンに送りつけ実行させるリモートコード実行攻撃、メモリ上に任意のデータをばらまくヒープスプレー、秘匿されなければならない通信が暗号化などが不十分なために漏れてしまう情報漏洩などが考えられるでしょう。

　最近では、Wi-Fiのセキュリティプロトコルである「WPA2」「WPA」にパケットの偽造、注入が可能な脆弱性が発見されました。「CVE-2017-13077」を始めとするいわゆる「KRACKs」と呼ばれる一連の脆弱性です。この脆弱性に対応するには、端末側で対応する必要があるため、各OSでの修正が急がれました。

　この問題に対して、グーグルは、2017年12月1日、Android 5.0.2以降向け（CVE-2017-13082のみがAndroid 7.0以降）に対応セキュリティパッチを公開しました。その後、多くの端末メーカーがセキュリティパッチレベル 2017年12月1日以降のシステムとして、対策を提供することができました。

　Androidでは、バージョン番号が変わるようなメジャーアップデートの際はもちろん、毎月こうしたセキュリティパッチが公開されています。

　こうした取り組み、たとえばCVE識別番号を管理するWebサイトに登録されたセキュリティホールに関して、順に解決し、月例でセキュリティパッチを提供する、といった企業は珍しくありません。ただ、Androidの場合、多くの場合は間に「チップセットメーカー」や「端末メーカー」が入ってしまう」ことになるので少し変わって見えるというところでしょうか。

　もし、グーグルによる月例セキュリティパッチが公開されなかった場合、先述したKRACKsのような脆弱性が放置されていまうことになると非常に危険です。KRACKsの場合は、研究論文や検証コードが公開されBlackhatのTwitterなどでも言及されていることなど、関連する情報が豊富でした。多くのユーザーに影響があるような、悪意ある攻撃が実際に登場するまで秒読み段階だったかもしれないのです。

　グーグルでは、セキュリティの問題に関してはできるだけオープンにして、Android搭載端末に影響を与えるセキュリティの脆弱性の詳細をWebに掲載し、毎月頭、その全てに対処するようにしているようです。パートナーに対しては、情報公開の1カ月前までにすべての脆弱性問題を通知し、AOSPレポジトリ（ソフトウェアの貯蔵機構のこと）に、これらの問題に対するソースコードのパッチをリリースしています。