今から約7年前（2008年9月）、Googleは、数多くの（うわさ）はあったものの、それまで極秘にされていたプロジェクトの正体をついに明らかにした。それは、これまでのモバイル業界を大きく揺るがすものだった。今までの憶測は見事に裏切られた。単なるスマートフォンの新製品の発表ではなかった。従来のスマートフォンをはるかに超えるものだったのだ。発表会のテーブルには、全く新しいOSがあった。そしてその後、わずか数年でモバイル市場、スマートフォン市場を席巻する。その名は「アンドロイド」である。

だが、こうしたサクセスストーリーの裏に、さまざまなセキュリティ上の不具合や、こまごまとしたバグの発生があったことは、言うまでもない。しかも見逃せない問題発生は、ほんの数年前にも起きている。2013年の夏である。Androidの「マスターキー」エクスプロイトと呼ばれる、極めて大きなセキュリティホールが発見されたのである。

このエクスプロイトは、Android OSで動作している全ての機器を脆弱化するもので、感染すると、攻撃側がインストールされているパッケージ、すなわち「APK」（Android Application Package）を変更できるようになる。しかも厄介なことに、機器システム側からはこうした変更を検知できない。どういうことが起こる恐れがあるのか。それは、正規のアプリを不正のトロイの木馬に変えてしまうのである。

もう一つ、極めて重大な脆弱性が発見されている。2015年7月のことである。これは「Stagefright」と名付けられている。このバグは、実数で言えばおよそ10億台の機器に影響した。つまり、この世にあるAndroid機器の95％に脅威を与える恐れがあったのである。サイバー犯罪者によって送られたわずか1通のMMS（マルチメディア・メッセージング・サービス）によって、これを読んだり開封しなくても、Android機器の制御ができなくなってしまうというものだった。

オープンソースをベースにしたシステムであり、かつ、最も普及しているものの一つでもあるAndroidには、やはり多くのマルウェアの脅威があり、報道記事の見出しを飾ってきた。2015年9月には、画面をロックしてしまうランサムウェア（身代金請求型のマルウェア）が米国全域で出現したことが報じられた。これは「Android/Lockerpin.A」という名称で検出されるものだった。この攻撃を行っている犯罪者は、犠牲者の機器のロック解除に500ドルを要求した。

もう一つの例としては、これも2015年9月だが、ESETの研究者が公表した「Android/Mapin」が挙げられる。これはAndroidユーザーに向けられたステルス攻撃である。スマートフォンやタブレットに直接バックドア型トロイの木馬を送り込むもので、「Plants vs Zombies」「Candy Crush」「Super Hero Adventure」といった、米国などで人気の高いアーケードゲームの偽バージョンが利用された。

この不正コードによって、攻撃者はAndroid機器を制御できるようになる。例えばボットネットに組み込むこともできる。ESETが発見したサンプルには、このマルウェアにタイマーが内蔵されていた。すなわち、感染後直ちに不正な行動が起きるわけではなく、攻撃側の希望する時間に不正なペイロードを実行できるようになっていたのである。その結果、機器に奇妙な動作が生じても、ゲームのイベントであるかのように捉えられてしまうのだ。

この「Android/Mapin」について警戒しなければならないことは、感染するアプリは全て、公式のGoogle Playストアからダウンロード可能であるということである。ESETの調査によれば、「Android/Mapin」への感染の大半はインドで発見され、2015年末の時点で検知のうち73%以上を占めた。

まだ歴史が浅いにもかかわらず、すでに注目される存在となるに至ったAndroid機器であるが、最も広く使用されているOSにはまだバグや脆弱性があり、今後もサイバー犯罪者の格好の標的となることは想像に難くない。これまでWindowsがそうであったように、人気の高いOSと機器は、常に過酷な攻撃にさらされるリスクがある。開発側もユーザー側も、こうした現実にこれからも立ち向かっていかなければならない。そこで、もし、このプラットフォームがこの世に出て7年がたったことを祝い今後の発展を願うのであれば、以下の8つのシンプルなルールをぜひとも守ってみてはいかがだろうか。きっと安全性は高まることだろう。

• 最新版を利用することにした時点で、直ちに自分の持っている機器のOSとアプリのアップデート行う
• 機器にあるデータは全て（が難しければせめて、大事なものだけでも）バックアップを取る
• 信頼のおけるベンダーが提供する最新のセキュリティソリューションを利用する
• マルウェア感染の可能性が最も低い、Google Playストアを極力利用する（もちろん「Android/Mapin」の例が示すように、公式ストアでさえも時々マルウェアが紛れ込んでいるが、アプリはGoogle本体が常にチェックを行っており、セキュリティベンダーによる分析もしばしばなされている）
• どうしてもサードパーティのアプリを使いたいと思うのであれば、ソースが信頼できるものだけにする（例えば雇用主などからの紹介）
• 画面ロックを使用し、「パターンはPINよりも危険であり、パスワードが最善の選択肢である」ことを思い出す
• 機器のコンテンツを暗号化する
• パフォーマンスの向上や自由なカスタマイズなど、さまざまな誘惑があるもの、機器のルート化は避ける

追記

2015年11月、Baidu社によるAndroid機器のソフトウェア開発キット（SDK）であるMoplusに、バックドアのような機能が組み込まれていることが判明した。このSDKを用いて開発されたアプリを使用している機器は、勝手に外部との通信を行われてしまう恐れがある。その結果、機器の乗っ取りや遠隔操作、任意のアプリの導入などが可能となる。

MoplusはBaiduのみならずAndroid機器で動作する多数のアプリで利用されており、その影響は極めて広い範囲にわたると考えられる。もちろん、Baidu側ではすでに修正版をアップデートしており、関係各社にも注意を呼び掛けている。

Baidu社が提供するアプリの中で最も国内で利用されている「Simeji」においては、当SDKを使用していないという発表がなされている。それでも不安が十分に払拭されていない場合、対策として、性能の高いセキュリティアプリでウイルスチェックを行うことが推奨される。