世界を変える何かは、既に近くにあるかもしれない

Android Bazaar and Conference (ABC) 2011 Summerに行ってきました

»

7月18日に早稲田大学で開催されたAndroid Bazaar and Conference (ABC) 2011 Summerに行ってきました。ABC主催の日本アンドロイドの会会長の丸山不二夫先生らによる基調講演に始まり、招待講演、震災に関する特別トラック、企業、学校、個人、日本アンドロイドの会の各支部などによる講演(現時点でアップされている講演レポート)やバザールと呼ばれる展示などが行われ、連休中日にもかかわらず多くの参加者を集めていました。また、Androidデバイスやサービスを開発する組織や草の根の開発者、利用者などまさに老若男女が参加していることもABCの特徴でもあります。

私は、午後から学生トラックの一部とアカデミートラックを聴講しました。私は、日本アンドロイドの会セキュリティ部の幽霊部員なのですが、そこからの発表をはじめ、いくつかのセキュリティ関連の発表があったからです。以下で簡単にご紹介します。

最初は、学生セッションでセキュリティ部の矢倉大夢さんが発表された「カーネルから見るAndroidのセキュリティ」です。なんと中学生です(私、中学生の時何やっていたでしょう。。。)。
みなさんご存じのように、AndroidはLinuxがベースになっており、Linuxカーネルの脆弱性の多くが、Androidの脆弱性に繋がります。Linuxの場合は、脆弱性が見つかると直ちに更新が行われますが、Androidの場合は、Android OSの更新と同時に行われるケースが大半です。そもそも、Android OSそのものの更新もなかなか行われないことが多く、Linuxカーネルベースの脆弱性が放置されているのが現状だそうです。この現状は、情報処理推進機構(IPA)が公開している「IPA テクニカルウォッチ スマートフォンへの脅威と対策に関するレポート」でも紹介されています。例として、2011年3月に報告されたDroidDreamという管理者権限の奪取を行うマルウエアを紹介していました。これは、Linuxカーネルにおける脆弱性を悪用したもので、Android Market上で公開されたアプリに含まれていため大きな注目を浴びました(もちろんすでに削除されています)。

アカデミートラックでは、KDDI研究所の 竹森敬祐さんが、「Android(TM)フォンのセキュリティとKDDIの取り組み」というタイトルで、Androidスマートフォンのセキュリティの概略とKDDIさんの取り組みについて紹介されました。興味深かったコメントは、仕事上Andoridスマートフォンを狙うマルウエアを検体として収集することがあるが、Android Market上で公開されたマルウエアを実際に収集することは難しい、ということでした。Andorid MarketではiPhoneアプリのAppMarketとは違って、登録時のアプリのチェックを行わないためマルウエアを含んだアプリが登録されることがありますが、問題があるアプリは速やかに削除されるからということなのでしょうか。また、KDDIさんが運営するAndoridアプリマーケット "Au One Market"では、アプリ作成者が登録の際に希望すると、自社開発のセキュリティチェックツールを使ってアプリを検証するサービスがありまる。検証をパスしたものは、セキュアアプリとしてのマークがマーケット上で表示されるそうです。AndroidでもiPhoneで行われているようなアプリの検証が得られるということで、今後は、他のマーケットでもユーザの利便性向上や差別化要因としてこのようなサービスが増えるかもしれませんね。

最後に、セキュリィ部部長の丹羽直也さんが「いま求められる、Androidのセキュリティ ~Androidセキュリティ部の取り組み~」というタイトルで、メーリングリストでの議論や記事の投稿などを通じたセキュリティ部の活動を報告されました。丹羽さんは高校生で、先日日本経済新聞でもその活動が取り上げられてます。また、セキュリティ部のメンバーから、Camellia暗号のAndroid JNIラッパーcamellia-android紹介や最近複数のベンダーから公開されているAndroid用AntiVirusに関する議論も行われました。

Androidを含むスマートフォンのセキュリティは最近注目されており、様々な製品も出回り始めています。しかし、AndroidのセキュリティをLinuxカーネルレベルの脆弱性の観点から議論した矢倉さんの話は私にとって新鮮な切り口でした。また、各キャリアがAndroidスマートフォンのセキュリティについて様々な方策をとり始めていることはとても良いことだと思っています(例えば、ドコモさんはAndroid端末向けウィルス対策サービスの無料提供を始めています)。

また、とても若い力がコミュニティを支え始めていることに、感銘を受けると共に、おじさんも頑張らねば、と思った一日でした。

Comment(2)

コメント

TETSU

そりゃあ難しいでしょうね。ウイルス混入アプリをマーケットに出す時に、わざわざ”ウイルスが入ってますよ”って記述しませんから(笑)日々沢山新しいアプリが出ているし、簡単にアプリのコピーが出来て、人気のアプリの真似をしたものがすぐに出てきてしまうぐらい簡単なのがあざになってますね。
現状では制作費をかけたアプリを出しにくいマーケットになっていて、糞アプリが沢山だし、何だか素人お断りっぽい雰囲気になっちゃってますね。

うらもと

TETSUさん、コメントありがとうございます。ちなみに、発表された方によれば、今はアプリの検証は希望者だけの(有償)サービスだそうですが、できれば全数チェックしたいとおしゃっていました。コードの静的および動的解析の技術もけっこう進んでいますしある程度検証の自動化はできるのではないかと個人的には思っています。ただ、より意味的なもの、例えば、外部へのアクセスを広告データの取得のために用いる、という場合は許すか許さないか、みたいな問題は難しいでしょうけど(最終的には利用者の判断になるのでしょうが)。

なるほど、私はアプリのビジネスモデルはよくわかりませんが、よいアプリが出にくい状況なのですね。。。利用者としては、どれが良いアプリなのかがよく分からなくて困ることが多いですね。

コメントを投稿する