米Bit9が11月21日(現地時間)にスマートフォンに関するセキュリティレポート「The Most Vulnerable Smartphones of 2011(2011年の最も脆弱なスマートフォン)」を公開した。その中で同社は攻撃の被害を受けやすいスマートフォンのTOP12「The Dirty Dozen」をリストしており、今年はその全てがAndroid搭載機種になった。
- Samsung GALAXY Mini
- HTC Desire
- Sony Ericsson Xperia X10
- Sanyo Zio
- HTC Wildfire
- Samsung Epic 4G
- LG Optimus S
- Samsung GALAXY S
- Motorola DROID X
- LG Optimus One
- Motorola DROID 2
- HTC Evo 4G
脆弱性ランキングがAndroid端末ばかりになったのは、Bit9がAndroid 2.3.3以前をセキュリティ上の問題のある古いバージョンと見なしており、該当するAndroid端末のOSアップグレードが速やかに提供されていないためだ。新版のAndroidがリリースされてから、端末向けにアップデートが提供されるまでの平均時間は約7カ月と長い。
「ソフトウエア・アップデートの提供が、各ハードウエアベンダーと通信キャリアに任されているのが問題を引き起こしている。(PCにたとえれば) インターネットプロバイダーを含めてDellからPCを購入し、そのWindowsソフトウエア・アップデートを、MicrosoftではなくDellに頼っているようなものだ」と指摘。Androidのオープンさはプラットフォームの波及を促すが、一方でOSのセキュリティ・アップデートをGoogleが徹底できないというデメリットを含むとしている。
TOP12のAndroid端末のうち10機種はすでに販売またはアップデートの提供が終了しているが、今も多数のユーザーが存在する。2011年10月時点で、1位のGALAXY MiniのAndroid市場シェアは1.5%にとどまるものの、8位のGALAXY Sが9.3%、2位のHTC Desireが3.9%、9位のDROID Xが3.2%となっており、トップ12の全ての機種を合わせればAndroidユーザーの33%に使われている。米国では2年縛りのサービス契約で端末を購入する人が多いが、Androidスマートフォンのメーカーの多くは12-18カ月での新モデル投入を優先しているという。
AppleのiPhoneは、iPhone 4(および以前のモデル)が13位だった。iPhoneユーザーが最新版にアップデートする比率は高いものの、一部のユーザーがパソコンに接続しないまま古いバージョンで使い続けていると指摘している。最新のiOS 5を搭載するiPhoneはパソコンに接続しなくても、OTA(Over-the-Air)によるOSアップデートが可能だ。
今後の対策としてBit9は、「スマートフォン・ベンダーに対してセキュリティ・アップデートの提供を最優先するように求める」「OSのソフトウエア・アップデートのコントロールをスマートフォン・ベンダーに放棄させ、PCのようにOSベンダーが責任を持つ」「セキュアなアプリストア・モデルの確立」などを挙げている。