グーグルが4月19日に公表したアンドロイド搭載デバイスのセキュリティに関する2015年度版の年次報告書によると、現時点で使用されているアンドロイド搭載のスマートフォンとタブレットおよそ14億台のうち、「アンドロイド4.4.4」とそれ以降のバージョンを搭載している端末は、全体の約70%にとどまっている(アンドロイド4.4.4以前のバージョンを使用している場合、セキュリティ更新用のパッチを受け取ることができない)。
また、メディア再生エンジン「Stagefright(ステージフライト)」に極めて重大な脆弱性が発見され、スマホ10億台に影響が及ぶとして懸念されていたが、これに関連した問題は報告されなかった。マルウェアに感染したデバイスもほとんどなかったという。
このほか、グーグルが「潜在的に有害なアプリ(Potentially Harmful App、PHA)」とみなすアプリが昨年中にインストールされた端末は、全体の1%以下にあたる約1,400万台だった。
報告書が最も厄介なマルウェアとして指摘したのは、トロイの木馬の一種「ゴーストプッシュ(Ghost Push)」だった。グーグルプレイストア外と合わせて、ゴーストプッシュとその亜種は4万以上確認されている。マルウェアが侵入を試みた回数は、グーグルが確認したものだけでも35億回以上に上ったという。ただし、実際に影響を受けたデバイスは400万台以下だった。
セキュリティ強化を実現
グーグルプレイの安全性に関する批判を受け、グーグルはセキュリティの強化に特に注力してきた。2015年には1日当たり、およそ4億台の端末のスキャンを実施し、ユーザーをリスクから守ったという。
アンドロイド担当のセキュリティチームは月例セキュリティアップデートの公開し、安全性強化に向けた対策を講じてきた。昨年6月にはバグを発見して報告すると報奨金を支払うプログラムにアンドロイド限定の制度(バグ1件当たりの報奨金は最大3万8,000ドル)を設けたり、アプリ開発者らへの脆弱性に関する警告を徹底したりするなどしてきた。
昨年中に脆弱性修正パッチが配布された欠陥の中でグーグルの従業員が発見したものは、危険性が「Critical(最大)」とされるものの42%、「High(高)」の22%、「Moderate(中)」の9%。発見した人たちの中には、インターネット全体のセキュリティを向上させるための広範囲な取り組を行う「プロジェクトゼロ(Project Zero)」担当チームのメンバーが含まれている。
また、同社が昨年中にアンドロイドのバグの発見・報告に対して支払った報奨金は、総額およそ21万ドル(約2,290万円)に上った。報告されたバグのうち、深刻度が「Critical(重大)」に分類されたのは30件、「高」は34件、「中程度」と「低」はそれぞれ、8件、33件だった(危険度が低いバグは報奨金の対象外となる)。