2026 年に判明した Keenadu/ALLDOCUBE/DOOGEE 等の中華 Android タブレット プリインストール malware 事案で、現場用途で導入していた中堅企業 80 社以上が交換対応を迫られた。 購買部門が「価格」だけで選定し、情シスが「事後発覚」で対応に追われる構図が固定化している。本記事は購買 RFP・受入検証・運用判断までを一気通貫で扱う。
目次
- 中華 Android タブレット プリインストール malware 事案の整理
- OEM 信頼性評価 5 軸
- Google Mobile Services(GMS)認証の意味
- 購買 RFP テンプレート(必須・推奨・任意)
- 納品時受入検証チェックリスト
- 購買部門と情シスの責任分担マトリクス
- 代替候補機種の検討(信頼性ランク順)
- よくある質問(FAQ)
中華 Android タブレット プリインストール malware 事案の整理
| 時期 | 機種/OEM | 内容 | 影響規模 |
|---|---|---|---|
| 2026-04 | Keenadu 全機種 | system 領域に C2 通信モジュール | 国内 1.2 万台超 |
| 2026-03 | ALLDOCUBE 一部 | ファクトリーリセットでも残存 | 国内 数千台 |
| 2026-02 | DOOGEE 一部 | サードパーティ広告 SDK | 国内 数千台 |
| 2024-08 | Lemfo Android Watch | データ収集モジュール | 海外中心 |
共通点:
- AOSP ベース(Google 認証 GMS なし or 部分認証)
- system パーティション署名済 → ファクトリーリセットでも除去不可
- 価格は同等スペックのブランド機種比 30-50% 安
- 業務用途(POS/検品/案内端末)で導入されているケースが多い
FREE CONSULTATION
この記事の内容について、専門家に相談できます
AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。
OEM 信頼性評価 5 軸
| 軸 | 評価項目 | スコア例(A 社) |
|---|---|---|
| ① 法人格・住所開示 | 本社所在地/代理店契約/日本法人有無 | 国内代理店あり=○ |
| ② GMS 認証 | Google 認証取得済の機種ラインがあるか | あり=○ |
| ③ セキュリティアドバイザリ | 公式 PSIRT/更新ポリシー公開 | 公開なし=✕ |
| ④ 第三者監査 | NIAP/CC EAL/業界監査の取得 | 未取得=△ |
| ⑤ サポート寿命 | OS/セキュリティパッチ提供期間明示 | 明示なし=✕ |
5 軸満点中 4 以上で A ランク、3 で B、2 以下で 法人購買非推奨。
Google Mobile Services(GMS)認証の意味
GMS 認証取得済の機種は:
- Google Play Protect が常時稼働
- 月次セキュリティパッチが OEM 経由で配信される基盤あり
- Bootloader/Verified Boot の仕組みが標準実装
GMS 認証なし機種は AOSP のみで、Google Play Protect が動かない。市販の中華タブレットの大半が GMS なし。
購買 RFP テンプレート
必須要件(Must)
□ M-1: GMS 認証取得済 OS バージョンであること
□ M-2: 月次セキュリティパッチ提供を OEM が公式表明していること
□ M-3: Bootloader が施錠状態で出荷されること
□ M-4: 国内に法人格を有する代理店経由での購入であること
□ M-5: 購入後 5 年間の OS/セキュリティ更新保証
□ M-6: SBOM(部品表)の提供
推奨要件(Should)
□ S-1: Android Enterprise Recommended プログラム登録機種
□ S-2: NIAP/Common Criteria 認証取得済
□ S-3: MDM(Intune/Workspace ONE 等)ゼロタッチ登録対応
□ S-4: Knox/Zero Trust ベース機能搭載
任意要件(Could)
□ C-1: ブラックリスト OEM/機種でないこと(後述リスト)
□ C-2: 導入実績(同業界・同規模の事例)
納品時受入検証チェックリスト
1. パッケージ封緘の改竄痕跡チェック
2. シリアル番号と購買発注書の一致確認
3. 起動時 SafetyNet/Play Integrity API テスト合格
4. ファクトリーリセット → 再起動後の挙動確認
5. アプリ一覧をブランド純正と比較し追加 system app の有無
6. 通信ログ採取(30 分)→ 不審 C2 通信の有無
7. ADB shell で `getprop ro.bootloader` / `ro.build.fingerprint` 確認
8. MDM 登録 → ポリシー強制が反映されること確認
7/8 で純正と異なる出力が出た場合は購買部門に返品手続き。
購買部門と情シスの責任分担マトリクス
| 工程 | 購買 | 情シス | セキュリティ |
|---|---|---|---|
| RFP 作成 | 主担当 | レビュー | レビュー |
| OEM 評価 | サポート | 主担当 | レビュー |
| 受入検証 | サポート | 主担当 | サポート |
| MDM 登録 | — | 主担当 | レビュー |
| 運用監視 | — | 主担当 | サポート |
| 廃棄/交換 | サポート | 主担当 | レビュー |
代替候補機種の検討
| ランク | OEM/機種例 | 価格帯 | 強み | 弱み |
|---|---|---|---|---|
| A | Samsung Galaxy Tab Active 系 | 6-12 万円 | Knox/タフ仕様/長期サポート | 高価 |
| A | Lenovo ThinkPad Tablet | 8-15 万円 | 法人サポート/Knox 互換 | 重量 |
| A | Microsoft Surface(Windows) | 10-25 万円 | Windows 統合 | OS が異なる |
| B | Sharp/NEC 国産 Android | 5-10 万円 | 国内サポート | 機種少 |
| B | Xperia Tablet(条件付き) | 6-10 万円 | GMS 認証 | 法人モデル少 |
| 非推奨 | Keenadu/ALLDOCUBE/DOOGEE 等の中華格安系 | 1-3 万円 | 安い | バックドア事案 |
よくある質問(FAQ)
Q. 既に中華タブレットを 100 台導入済、すぐ全交換すべき? A. ① プリインストール malware 報告のある機種は即時隔離・交換、② 報告がない機種は受入検証 7/8 を実施し、不審動作なければ MDM 強制下で限定運用継続。完全な置換は次回更新サイクルで。
Q. RFP に「中国製禁止」と書いて良いか? A. 国・原産地での一律排除は調達ルール上問題が出る場合がある。代わりに「GMS 認証必須」「OS 5 年更新保証必須」など機能要件で実質的に中華格安機種を排除する書き方が安全。
Q. 業務用 POS/検品端末で 1 台 1-2 万円の予算しかない場合は? A. 専用業務端末(Honeywell/Zebra/Datalogic 等)を検討。法人サポートと長期保守を含めた TCO で見ると中華格安機種より割安になるケースが多い。
参考資料
- IPA「情報セキュリティ 10 大脅威 2026(組織編)」
- Google Android Enterprise Recommended プログラム
- 経済産業省「ソフトウェア管理に向けた SBOM の導入に関する手引」2024 年改訂版
法人 Android 端末の購買セキュリティ要件整備、RFP 作成支援、MDM 設計は GXO の端末セキュリティ運用サービスで対応しています。
<!-- GXO_QUALITY_REWRITE_20260507_START -->GXO実務追記: サイバーセキュリティで発注前に確認すべきこと
この記事のテーマは、単なるトレンド紹介ではなく、自社で最初に塞ぐべきリスク、外部診断の範囲、初動体制を決めるための検討材料です。検索で情報収集している段階でも、発注前に次の観点を整理しておくと、見積もりのブレ、手戻り、ベンダー依存を減らせます。
まず決めるべき3つの論点
| 論点 | 確認する内容 | 未整理のまま進めた場合のリスク |
|---|---|---|
| 目的 | 売上拡大、工数削減、リスク低減、顧客体験改善のどれを優先するか | 成果指標が曖昧になり、PoCや開発が終わっても投資判断できない |
| 範囲 | 対象部署、対象業務、対象データ、対象システムをどこまで含めるか | 見積もりが膨らむ、または重要な連携が後から漏れる |
| 体制 | 自社責任者、現場担当、ベンダー、保守運用者をどう置くか | 要件確認が遅れ、納期遅延や品質低下につながる |
費用・期間・体制の目安
| フェーズ | 期間目安 | 主な成果物 | GXOが見るポイント |
|---|---|---|---|
| 事前診断 | 1〜2週間 | 課題整理、現行確認、投資判断メモ | 目的と範囲が商談前に整理されているか |
| 要件定義 / 設計 | 3〜6週間 | 要件一覧、RFP、概算見積、ロードマップ | 見積比較できる粒度になっているか |
| PoC / MVP | 1〜3ヶ月 | 検証環境、効果測定、リスク評価 | 本番化判断に必要な数値が取れるか |
| 本番導入 | 3〜6ヶ月 | 本番環境、運用設計、教育、改善計画 | 導入後の運用責任と改善サイクルがあるか |
発注前チェックリスト
- 重要システムと個人情報の所在を棚卸ししたか
- VPN、管理画面、クラウド管理者の多要素認証を必須化したか
- バックアップの世代数、復旧時間、復旧訓練の実施日を確認したか
- 脆弱性診断の対象をWeb、API、クラウド、社内ネットワークに分けたか
- EDR/MDR/SOCの必要性を、監視できる人員と照らして判断したか
- インシデント時の連絡先、意思決定者、広報/法務/顧客対応を決めたか
参考にすべき一次情報・公的情報
上記の一次情報は、社内稟議やベンダー比較の根拠として使えます。一方で、公開情報だけでは自社の現行システム、業務フロー、データ状態、予算制約までは判断できません。記事で一般論を把握した後は、自社条件に落とした診断が必要です。
GXOに相談するタイミング
次のいずれかに当てはまる場合は、記事を読み進めるだけでなく、早めに相談した方が安全です。
- 見積もり依頼前に、要件やRFPの粒度を整えたい
- 既存ベンダーの提案が妥当か第三者視点で確認したい
- 補助金、AI、セキュリティ、レガシー刷新が絡み、判断軸が複雑になっている
- 社内稟議で費用対効果、リスク、ロードマップを説明する必要がある
- PoCや診断で終わらせず、本番導入と運用改善まで進めたい
<!-- GXO_QUALITY_REWRITE_20260507_END -->Android タブレット 法人購買 セキュリティ ガイド 2026|中華端末リスク・OEM 検証・購買 RFP テンプレートを自社条件で診断したい方へ
GXOが、現状整理、RFP/要件定義、費用対効果、ベンダー比較、導入ロードマップまで実務目線で確認します。記事の一般論を、自社の投資判断に使える形へ落とし込みます。
※ 初回相談では営業資料の説明よりも、現状・課題・判断材料の整理を優先します。
