ドコモスマホのセキュリティについて調べてみた
<2017/11/14追記> 本日確認したところ、ドコモのサイトが更新されていましたので、内容を更新しました。
背景
先月、Bluetoothの脆弱性が公表されました。Bluetoothが有効になっていると、リモートから乗っ取られる可能性のあるかなり深刻な脆弱性です。
私自身は、昨年からiPhoneを使っており、上記の記事の中でも、
iOS 10搭載機器については CVE-2017-14315 の影響を受けません。
と書かれているので、大丈夫そうです。
ちなみに、息子に春頃からもたせているAndroidもNexus5Xにしていたので、アップデートしないとな、ぐらいに思っていたのですが、ついでにNexus5X以外がどうなのかについても調べてみたので、記載しておきます。
ちなみにドコモについて調べてみたのは、ドコモに悪意があるわけではなく、auやソフトバンクは使ったことがないので調べるのが面倒だったからです。むしろ、どっぷりドコモユーザ(15年以上)で決してアンチドコモではありません。
Nexus5Xでの調査
Nexus5Xについて
Nexus5XはGoogle謹製なので、Googleが脆弱性に対応すればまだ最新版までアップデートすることができます。 発売が2015年10月19日ということなので、約2年前ですね。この端末のパッチはGoogleで管理されており、ドコモが介在しないので配信が早いというメリットがあります。デメリットとしては、おサイフケータイ、ワンセグなどの日本仕様には対応していません。
下記のサイトによると、Nexus5Xは2018年11月まではセキュリティパッチを保証してくれているそうです。
Android のバージョンを確認して更新する - Nexus ヘルプ
Blueborneの脆弱性について
上記のトレンドマイクロ社の記事によるとAndroidで該当するのは以下の4つのようです。
- CVE-2017-0785:Android の情報開示の脆弱性
- CVE-2017-0781:Android のリモートコード実行の脆弱性
- CVE-2017-0782:Android のリモートコード実行の脆弱性
- CVE-2017-0783:Android の中間者攻撃の脆弱性「Bluetooth Pineapple」
これらがいつ対応したのかについて、開発元で確認してみました。
https://source.android.com/security/bulletin/2017-09-01?hl=ja
ありました。2017年9月1日版で修正されているようです。
まだアップデートしていなかったので、Android 7.1.2、セキュリティパッチレベル 2017-08-01だったのですが、アップデートすると、Android 8.0.0、セキュリティパッチレベル 2017-09-05になりました。これで、Blueborneに対する対応は大丈夫そうです。
ドコモスマホ(Android)に関する調査
ドコモスマホのセキュリティパッチ
私が以前使っていたXperia Z1f(2013年12月発売)はAndroid 4.4(Kitkat)で止まってしまっていたのもあって、若干の誤解がありました。 誤解というのは、セキュリティパッチも含めてドコモのAndroidのパッチは年に一度ぐらいしか出ていないと思ったいた点です。
Xperia(TM) Z1 f SO-02Fの製品アップデート情報 | お客様サポート | NTTドコモ
サイトを確認してみたところ、計5回出ていたようですが、発売後約半年たった2014年8月12日以降は2回しか出ておらず、発売後2年を経過して2016年1月21日 に出たのを最後に出ていないので、印象はあっていたようです。
- 2014年3月31日
- 2014年6月26日
- 2014年8月12日
- 2015年6月24日
- 2016年1月21日
現状、どうなっているかというと、Android 6.0以降はドコモも原則すべてのセキュリティパッチを適用できるようになっているようです。
ドコモでは、お客様に、より安心してスマートフォン・タブレットをご利用いただくため、セキュリティ更新を行っております。セキュリティ更新を行うことで、Google社が公開しているAndroidTM OSのセキュリティパッチ(いわゆる脆弱性(ぜいじゃくせい)を対処するためのソフトウェア)を、原則として全て適用することが出来ますので、スマートフォン・タブレットをより安心してお使いいただくことができます。
ドコモスマホはBlueborne対策ができているのか?
ということは、遅かれ早かれ、Android 6.0以降のものはセキュリティパッチが適用されるということのようです。あとはタイミングの問題でしょうか。特に、最後に駆け込みでAndroid 6.0に対応したXperia Z3 CompactやXperia A4がどうなのか興味があります。
セキュリティ更新の実施状況は、各製品の「製品アップデート情報」でご確認いただけます。また、お持ちのスマートフォン・タブレットの設定画面から、何月時点のセキュリティパッチが適用されているかを、お客様ご自身でご確認いただくこともできます。
と書かれているのが気になります。「製品アップデート情報」で確認すると、Xperia Z3 Compactの最新アップデートは2017年5月31日のようです。これで2017年5月時点のものまでしか更新されていないのか、そのあともセキュリティパッチだけは毎月出ているのか、私には確認する方法がありませんでした。周りの人に聞いてみようかな。
最新のスマホの状況は?
最近(2017年10月3日)アップデートが出ていたArrows Be F-05Jで確認してみました。
arrows Be F-05Jの製品アップデート情報 | お客様サポート | NTTドコモ
- セキュリティ更新(設定メニューのセキュリティパッチレベルが2017年9月になります。)
9月までは更新されるそうです。ただし、どうもGoogleの9月パッチとは少し定義が違うようです。
https://www.nttdocomo.co.jp/support/utilization/product_update/about03/index.html
下記4点のいずれも9月にも10月にも見当たりません。
- CVE-2017-0785:Android の情報開示の脆弱性
- CVE-2017-0781:Android のリモートコード実行の脆弱性
- CVE-2017-0782:Android のリモートコード実行の脆弱性
- CVE-2017-0783:Android の中間者攻撃の脆弱性「Bluetooth Pineapple」
ということは、ドコモの9月パッチが当たっていても、Blueborne対策はできていないのではないかと思われます。そうだとすると、当面Bluetoothはオフにしておくしかなさそうです。
<2017/11/14追記>
本日確認してみたところ、上記のパッチが9月分に含まれていました。しかし、この記事を当初書いたときに含まれていなかったものが9月分で配信されていたのか、Googleから9月にリリースされていたものが11月分で追加されたのかは判別できませんでした。
