Google、Androidメーカーは脆弱性の修正に時間がかかりすぎていると指摘

Googleが毎年恒例となるゼロデイ脆弱性に関する年間レポートを公開しました。

ゼロデイ脆弱性はセキュリティに関する問題のなかでも、情報が公に知られる前やアップデートで修正される前の脆弱性に該当するもの。攻撃者にとっては攻撃手段のヒントがないことから難易度が高いものの、ユーザーが取れる防御策が実質的に存在しません。

ほかには修正された後の修正プログラムを悪用したNデイ脆弱性が存在しており、修正プログラムを解析することで攻撃手段のヒントを得て、修正プログラムを適用していない対象者に攻撃を行います。

Googleのレポートのなかで、Androidでは脆弱性を修正するパッチがリリースされても適用するまでにかなり時間がかかるケースが複数あると報告されており、上流のベンダーが修正プログラムをリリースしているにも関わらず、下流のメーカーがそのパッチをユーザーに提供していないケースが存在し、Nデイ脆弱性がゼロデイ脆弱性として機能すると危険性が指摘されています。

17ヶ月も脆弱性が野放しになっていたことも

Googleは実例としてセキュリティ研究者によって2022年7月に発見されたARM Mali GPUを搭載するデバイスに影響を与える脆弱性を取り上げています。

同セキュリティ研究者によって脆弱性がAndroidセキュリティチームに報告されたものの、デバイス固有の問題であるとの理由で修正しないと判断。一方でARMは同年10月に脆弱性を修正していたとのこと。

同年11月には脆弱性を攻撃することも確認されていましたが、Androidで脆弱性が修正されたのは2023年4月の月次アップデートでした。つまり、最初の報告から9ヶ月、ARMがリリースしてから6ヶ月、攻撃が確認されてから5ヶ月もの長期にわたって脆弱性が放置されていたことになります。

さらに、2022年12月にはSamsung Internetブラウザが7ヶ月も前のブラウザエンジンであるChromiumを使用していたことに起因する脆弱性も発見されており、同様にNデイ脆弱性がゼロデイ脆弱性として機能していたと報告されています。

この脆弱性は2022年1月に悪用されていることが確認されており、パッチがリリースされてから17ヶ月後の2023年6月までAndroidの月次アップデートに含まれておらず、野放し状態であったとのこと。

Google Pixelには、セキュリティアップデートが1ヶ月に1回提供されているため、安全だと感じる人も多かったと思いますが、今回の報告かぎりでは必ずしもそうとは言えないようです。

また、Google Pixel以外のAndroidについては、セキュリティアップデートが毎月配信されるわけではなく、2ヶ月に1回など定期的に配信する機種やメーカーも多いことを考えると、より長くNデイ脆弱性がゼロデイ脆弱性として機能する可能性があります。

Googleは「ユーザーが自分の身を守るために、我々は迅速に修正や緩和策を提供しなければいけない」としており、苦言を呈す対象にはAndroidを開発している自身も含まれています。

ちなみに、AppleのiPhone、iPadについてはWebKit以外のブラウザエンジンを使用することを禁止していることから、すべてのブラウザがWebKitで発見されているセキュリティリスクにさらされると総務省が指摘しており、一定規模以上のOSを提供する事業者（実質的にApple狙い撃ち）がブラウザエンジンの利用を義務付けることを禁止する方向性を示しています。