以下の文章は、電子フロンティア財団の「One Down, Many to Go with Pre-Installed Malware on Android」という記事を翻訳したものである。
昨年、Dragon Touchの子供向けタブレット(KidzPad Y88X 10)の調査を実施した。その結果、このタブレットが、マルウェアやアドウェア、不審なファームウェアアップデートチャネルについて複数の報告書で指摘されているAndroid TV Boxとのつながりが判明した。その後、Googleはこの販売業者(現在は撤退)をPlay Protect認証済みスマートフォンとタブレットのリストから除外した。このような脅威を発見する負担を消費者に負わせるべきではない。むしろ、製造業者、販売業者、小売業者による適切な審査こそが、セキュリティ上の問題を抱えたデバイスが無辜の消費者の手に渡ることを防ぐ唯一の手段だ。だが、この問題に対処するには、規制と透明性の確保も戦略に組み込む必要がある。
10月以降、Dragon Touchはウェブサイトでのタブレット販売を完全に停止した。とはいえ、AmazonやNeweggなどでは依然として在庫の販売が続いている。より多くの顧客にリーチするため、転売サイトだけで商品を取り扱うストアもあるが、Dragon Touchが自社ブログからタブレット関連の記事をすべて削除していることを考えると、単なる事業戦略の変更以上の何かがあったと考えざるを得ない。
我々は子供のAndroidデバイスを安全に設定するためのガイドを作成してはいるが、そもそもどのデバイスを購入すべきかという選択自体が難しい。より高価なiPadやAmazon Fire Tabletを勧めても、予算の都合で低価格デバイスを選ばざるを得ない人は必ずいる。エコシステムが適切な説明責任の仕組みを備えることで、低価格デバイスでも同様に信頼できるものになり得るはずだ。
誰が責任を負うべきなのか?
FCCが新たに開発を進める任意のCyber Trust Markのように、消費者教育のためのツールは徐々に整備されつつある。このラベルは、IoTデバイスの機能を消費者に伝え、最低限のセキュリティ基準を満たしていることを保証することを目的としている。だが、プリインストールされたマルウェアのチェックを消費者に任せるのは、あまりにも筋違いである。この種の脅威をチェックする責任は、規制当局、製造業者、販売業者、小売業者が担うべきだ。
AmazonやNeweggなどの小売サイトで低価格のAndroidデバイスを探すと、運営者が不明確だったり、信頼できる販売業者からの製品かどうかが分からないストアが数多く見つかる。これはAndroidデバイスに限った話ではないが、Androidエコシステム全体、そしてAndroidデバイスの数を考えれば、この問題に取り組むことで数千もの製品のセキュリティ向上につながるはずだ。
確かに、数百から数千にも及ぶ販売業者とその製品すべてを追跡するのは困難だ。日々進化するサプライチェーンの脅威に追いつくのも容易ではない。すべての脅威を把握することなど不可能かもしれない。
ただし、巨大な小売業者、とりわけ数十億ドル規模の企業に関しては、そのような言い訳を鵜呑みにするわけにはいかない。「すべてを販売する」と決めた時点で、その責任は避けられないものとなった。市場に新規参入した、あるいは取って代わったのであれば、それに伴う責任とリスクも引き受けなければならない。
解決の糸口:ファームウェアの透明性確保
幸いなことに、希望はある。侵害されたファームウェアを監視するためのツールはすでに存在しているのだ。
昨年、Googleはプリインストールされたマルウェアへの対策としてAndroid Binary Transparencyを発表した。これは、以下の2つのコンポーネントで侵害されたファームウェアの追跡を支援する。
- 暗号技術で保証された、追記専用で改ざん不可能、誰もが確認でき、一貫性があり、監査可能なファームウェア情報のログ
- 立会人(witness)、ログの健全性、標準化に取り組む参加者のネットワーク
このコンセプトは、Googleによって考案されたものではない。主にCertificate Transparencyの成功事例から学んだ教訓を活かしたものだ。とはいえ、AndroidエコシステムからAndroidイメージへの直接的なサポートがあれば、大きな前進となることは間違いない。これにより、Android Open Source Project(AOSP)を利用する製造業者や開発者の透明性が確保され、高価なブランドと同等の信頼を得られるようになるだろう。
EFFはオープンソースを重視しており、大手ブランドの高価な製品だけでなく、イノベーティブで入手しやすいデバイスが今後も登場することを望んでいる。ただし、そのためには説明責任を果たせる仕組みが不可欠だ。プリインストールされたマルウェアを容易に検出でき、消費者の手に渡る前に防げる体制が必要とされている。現在、技術的なスキルがあればPixelデバイスの検証は可能だが、消費者にコマンドラインで自己検証を求めるのではなく、規制当局や販売業者が検証を担うべきだろう。
Android Play Protect認証のような既存のプログラムが、Trillianなどのオープンソースのログ実装を使って同様のログを運用できれば理想的だ。そうすれば、セキュリティ研究者、小売業者、規制機関が様々なAndroid OEM(Original Equipment Manufacturer)の情報を監視し、必要に応じて照会できるようになる。
ファームウェアの検証ツールは存在するものの、現時点でこのエコシステムは理想論の域を出ない。EFFは常により良い未来を描くことを心がけている。Android OEMの包括的なログは現在存在しないが、それを実現するためのツールはすでにある。Androidにおける説明責任の先駆者として、F-DroidのAndroid SDK Transparency LogやGuardian Project(Tor)のBinary Transparency Logなどの取り組みが始まっている。
Binary Transparencyを補完する解決策として、Software Bill of Materials(SBOM)も注目に値する。これは、ソフトウェアを構成する「原材料リスト」のようなものだ。これも特に目新しい発想ではないが、近年は組織や政府からの支持を集めている。SBOMに記載されたコンポーネントを見れば、ソフトウェアの特定の部分に関する問題や脆弱性が一目瞭然となる。ただし、Binary Transparencyがなければ、研究者や検証者、監査者は、イメージを公開していないデバイスからファームウェアを抽出するという手間を強いられることになる。製造業者がイメージを積極的に提供すれば、SBOMの生成も容易になり、価格帯を問わず、より透明性の高い電子機器市場の実現につながるだろう。
昨年の調査以降、状況が改善しつつあることは喜ばしい。なんとかブラックフライデーの時期に間に合った。とはいえ、やるべきことはまだまだ残されている。怪しいコンポーネントを含むデバイスがより迅速に排除されるだけでなく、事前検出のための支援体制が整備されることを期待したい。支出できる金額の多寡にかかわらず、誰もがマルウェアのないセキュアで安全なデバイスを使う権利を持っているのだから。
One Down, Many to Go with Pre-Installed Malware on Android | Electronic Frontier Foundation
Author: Alexis Hancock Alexis Hancock / EFF (CC BY 3.0 US)
Publication Date: November 27, 2024
Translation: heatwave_p2p
