GoogleはAndroidのセキュリティ強化に力を入れているとは正直限界がある印象を受けます。何より「Android」といっても結局アップデートサポートはメーカーごとに対応が異なり、Googleとしてもアップデートの配信期間の目安をメーカーに提供している一方で強制力はないのかなと思います。
またよく「中華スマホはセキュリティ的に大丈夫か?」と聞かれますが、中華スマホどうこうの前にアップデートサポート期間をきれた機種を使っていないかの方が重要なのかなと思います。
今年買い替えをした方がいいXperia

Sonyはコストカットが優先的だったのか長らくアップデートサポート期間の拡張に消極的だった印象を受けます。そして改めてここ数年のXperiaのアップデートサポート期間を確認すると以下のようになります。
| 機種 | 発売時OS | OSアップデート保証 | セキュリティアップデート保証 | サポート終了予定 |
|---|---|---|---|---|
| Xperia 1 IV | Android 12 | 2回(Android 14まで) | 3年間 | 2025年5~6月頃 |
| Xperia 5 IV | Android 12 | 2回(Android 14まで) | 3年間 | 2025年9~10月頃 |
| Xperia 10 IV | Android 12 | 1回(Android 13まで) | 3年間 | 2025年6月頃 |
| Xperia 1 V | Android 13 | 2回(Android 15まで) | 3年間 | 2026年5~6月頃 |
| Xperia 5 V | Android 13 | 2回(Android 15まで) | 3年間 | 2026年9~10月頃 |
| Xperia 10 V | Android 13 | 2回(Android 15まで) | 3年間 | 2026年6月頃 |
| Xperia 1 VI | Android 14 | 3回(Android 17まで) | 4年間 | 2028年5~6月頃 |
| Xperia 10 VI | Android 14 | 3回(Android 17まで) | 4年間 | 2028年6月頃 |
| Xperia 1 VII | Android 15 | 4回(Android 19まで) | 6年間 | 2031年5~6月頃 |
| Xperia 10 VII | Android 15 | 4回(Android 19まで) | 6年間 | 2031年6月頃 |
| Xperia 1 VIII | Android 16 | 4回(Android 20まで) | 6年間 | 2032年5~6月頃 |
| Xperia 10 VIII | Android 16 | 4回(Android 20まで) | 6年間 | 2032年6月頃 |
少なくともXperia 1 IVなど2022年に発売された機種はすでにサポート期間が終了しており、さらに2023年モデルも基本は今年でアップデートサポート期間が終了になります。
なので今年買い替えを推奨をする機種はXperia 1 V /Xperia 5 V/Xperia 10 Vの3機種という感じです。
使い続けるリスク。

一方でアップデートサポートが終了したからといって、次の日から使えなくなるわけでもなくサポートが終了したと表示ができるわけでもありません。ただ使い続けるのはリスクがあることに違いはありません。
| 項目 | リスク | 影響 |
|---|---|---|
| 脆弱性の放置 | 新たに発見された脆弱性が修正されない。 | 第三者による不正アクセスやマルウェア感染のリスクが高まる。 |
| 個人情報の漏洩 | 保存されているデータが攻撃対象になる可能性がある。 | 写真、連絡先、位置情報、認証情報などが漏洩する恐れがある。 |
| ネットバンキング・決済 | 金融系アプリの安全性が低下する。 | 不正送金や不正利用のリスクが高まるほか、一部アプリが利用不可になる場合もある。 |
| アプリのサポート終了 | 新しいAndroid APIに対応できなくなる。 | アプリが更新されなくなったり、インストール・起動できなくなる可能性がある。 |
| ブラウザの危険性 | Webブラウザ経由で攻撃を受ける可能性が高まる。 | 悪意のあるWebサイトを閲覧しただけで被害を受ける可能性がある。 |
| Bluetooth・Wi-Fi | 通信機能の脆弱性が修正されない。 | 近距離から攻撃を受けたり、不正アクセスされるリスクがある。 |
| メール・SMS | フィッシングやマルウェアへの耐性が低下する。 | 偽サイトへの誘導や情報搾取の被害を受けやすくなる。 |
| 企業利用 | 情報セキュリティポリシーを満たせない場合がある。 | 会社のシステムやVPNへの接続を制限される可能性がある。 |
| AI機能・新機能 | 最新機能が提供されなくなる。 | Geminiや新しいAndroid機能などを利用できなくなる場合がある。 |
一般的に言えることをまとめた感じですが、やはりセキュリティリスクがどんどん高くなっていきます。ちなみにGoogleは毎月セキュリティパッチを更新していますが、ひどいときは100個近くの脆弱性を1ヶ月で修正することがあります。
つまりセキュリティアップデートが終了したスマホを使うという場合はこの脆弱性を放置することに等しいので、特にスマホに集約している人ほどしっかり考えた方がいいのかなと思います。