これらの仕様の違いがセキュリティに与える影響は、大きく二つある。
■SMSを利用した通信機能における制限
Android OSは、国際的に標準で使われているSMSやMMSの実装を前提にしており、各セキュリティベンダーは世界共通のアプリケーション仕様で開発・実装するため、海外でよく使われるSMSを利用したデータ通信を利用することが非常に多い。例えばSMSの送信はAndroidの機能で「SmsManager.sendTextMessage」という関数を利用するのだが、この関数に対応したショートメッセージサービスでない限り、SMSを利用した通信機能が使えないことがある。
■データ消去(WIPE)機能における制限
Android 2.1までは遠隔からのデータ消去の際には、メールデータやSDカードなどに保管されたユーザーデータを一つひとつ消していた。この際、メールデータは国際標準で使用されているSMS/MMSの形式を前提にしているため、NTTドコモやauの独自保存形式では、データの消去に制限があった。
もっとも、前述のようにAndroid 2.2以降は管理機能が拡充され、管理機能向けのAPI実装が変更されたため、端末の個体差を吸収できるようになっている。API実装によってデータ消去機能の動作が統一され、工場出荷時設定に戻すという仕様が多く取り入れられたからである。
携帯通信事業者ごとのセキュリティ対策状況
Androidは米Googleが提供するOSではあるものの、ユーザーが勝手にAndroidだけをアップデートすることは通常はできない。それをしてしまうと、通信事業者の仕様に基づく機能が使えなくなる可能性もある。やはり、通信事業者やメーカーからのアップデート提供に縛られてしまうのが実情である。
では、これまでにどういったAndroid OSのアップデートが提供されてきたのだろうか。表3を見てほしい。
各事業者、各メーカーにおいても、バージョンアップにおいて必ずしもAndroidバージョンが最新に更新されているわけではないことが分かるだろう。GoogleがAndroid OSの脆弱性をOSのバージョンアップで修正したとしても、ユーザーには必ずしも届けられていないのである。
ユーザーができる対策としては、既存のセキュリティソリューションを導入することである。セキュリティソリューションは、もちろんセキュリティベンダーが提供するセキュリティソフトを導入するという手が一つある。その際は、アンチウイルスだけではなく、Android OSの脆弱性に含まれる、悪意のあるWebサイトへのアクセスを未然に防止できるようなWebアクセス対策機能を持つ製品を選択することが必要だ。
一方で、通信事業者各社も独自のセキュリティサービスを展開している(表4)。各社ともサービス内容が変わる可能性があるため、詳細は各社のホームページなどで確認していただきたい。
