自社のサイトで案内している最新ソフトウェアwww.ymobile.jp
が、具体的にどういうものなのかも、把握していないらしい。
経緯
Stagefright 脆弱性が話題になっていたので
自分の所持しているワイモバイルの Nexus 5 (EM01L) は SMS/MMS 対応だったこともあり、ワイモバイルのサポートに 2015/07/30 に問い合わせを行った。
OSにAndroidを採用しているスマートフォンにおいて、深刻な脆弱性が存在する、という記事を見かけました。
http://japanese.engadget.com/2015/07/27/android-95-mms/
・動画再生エンジンの脆弱性であるため、メディアファイル読み込みの時点で、リモートからのアプリ権限での任意コード実行が可能となる。
・経路の一つとして、MMSをGoogleハングアウトで受信した場合は受信した瞬間にコードが実行されうる。
ということのようで、特にMMSをサポートしている御社のAndroid端末においては危険性が高いものだと思われます。この脆弱性について、
1. 現時点で、対策等はなされていますでしょうか?
2. ユーザー側での暫定的な対処方法などはありますでしょうか?
3. 今後の対策スケジュール等はどのようになっていますでしょうか?
お手数ではありますが、ご回答いただけますよう、お願いいたします。
すると、まず 7/30 に返信があり、
- 現在確認中のため、詳細についてわかりかねる
- 現時点において対処方法などの情報はない
- メーカーへ確認し、回答が出次第連絡する
という内容。
さらに、8/1にそれぞれ違う方から返信があったのだが、これも似たようなもので(内部で連携していない?)
- Androidの脆弱性につきましては、現在詳細を確認中
- 端末メーカーへの確認したところ、現時点においては各社ともセキュリティリスクが発生する脆弱性である認識がある旨の回答
- セキュリティパッチの提供時期等に関しては明確な回答は得られていない
- 現在、メーカーと協力し、順次対策を講じる準備を進めており、対策が準備出来たら、ソフトウェア更新などの形でお客さまへお知らせ
- ユーザサイドでの暫定的な対処についても、具体的、断定的な対処が出来かねる状況
という回答。
結局、連絡待ちだと認識したので、とりあえずハングアウトでMMSを自動的には開かないように設定して待つことにした。
そうこうしているうちに、案内が
2015/08/06付で、ワイモバイルのサイト上にwww.ymobile.jp
のようなお知らせが掲載された。
ただし、サポートからの連絡はない。
更新内容 セキュリティおよび動作安定性の向上
Nexus 5 (EM01L)をご利用のお客さまへ ~最新ソフトウェア配信のお知らせ~ | ワイモバイル(Y!mobile)
となっていたため、おそらくStagefrightがらみだろうと、ビルド番号「LMY48I」をキーに調べてみると、
Find and update the software version on your Google Nexus 5
LMY48I 08/05/2015 Patch for critical security vulnerability ('Stagefright') 
ということなので、間違いなさそう。配信を待つことに。
配信されてきたところで、再度問い合わせを投げてみたところ……
2015/08/12 の早朝に、うちの Nexus 5 にも LMY48I が配信されてきたので、この機会に再度ワイモバイルに問い合わせをしてみた(抜粋)。
先日、Android の深刻な脆弱性(Stagefright)に関して質問させていただきました。
その後、カスタマーセンター ○○様、△△様からご回答があり、セキュリティパッチ等の対処方法が判明次第ご連絡をいただける、とのことでしたが、その後どうなりましたでしょうか。http://www.ymobile.jp/info/2015/15080602.html
には、2015年8月6日付で、「セキュリティおよび動作安定性の向上」のソフトウェア配信のご案内があり、また、今朝方当方の Nexus 5 にも同ソフトウェア(ビルド番号「LMY48I」)が配信されたようですが、これで上記の脆弱性についても対応されたものという認識で宜しいでしょうか。
なお、もし上記ソフトウェア配信で解消されているにせよ、当方の最初の問い合わせから2週間弱・サイト上へのご案内の掲載時(8/6)からでも6日も経つ段階で当方になんのご連絡も頂いていないというのは、御社のサポート体制としては疑問に感じてしまいますので、できれば改善していただきたいと思います。
すると、こういう返事が……(抜粋)
弊社ホームページにて、ご案内しております最新ソフトウェア更新内容といたしましては、「セキュリティおよび動作安定性の向上」となります。
こちらはGoogleからの直接提供となりますので、詳細の内容はわかりかねます。
お手数をおかけいたしますが、ご確認ご希望の際は、
Googleサポートチームへご相談くださいますようお願いいたします。◇Googleサポートチーム
0120?950?065(通話料無料)
9:00?18:00 (無休)××さまからのご指摘・ご意見は真摯に受け止め、貴重なご意見として承り、
担当部署に上申させていただき、今後同様のトラブルが起こりませんようサービス向上に努めてまいります。
ご迷惑をおかけいたしましたことを重ねてお詫び申し上げます。
「なにが配信されるかよく知らないけれど、とりあえず案内だけしとくね。詳細知りたかったら自分で Google に確認してね!」
ってことだよなぁ、どう読んでみても……雑すぎないか?
というか、問い合わせがあった段階で、サポート側で Google に確認するなりの対応すら、しないということだろうか?
前にも機種変更時に関して問い合わせてみたら要領を得なかったり、Nexus5 のコンパス機能についてワイモバイルに問い合わせたら Google に丸投げされた経験があるのだけれど、お客さま窓口として機能していないよなぁ、これ……呆れてしまう。
一方、Google の窓口の対応は感じがよくて丁寧なので、相対的に評価が上がるのだけれど。
