ソニーデジタルネットワークアプリケーションズ(以下、SDNA)では、これまで2013年、2015年と二度に渡ってAndroidアプリ脆弱性の調査を行い、その結果を「Androidアプリ脆弱性調査レポート」として公表してきたが、今回、2年ぶりに最新のアプリ脆弱性対策について調査を実施した。Androidアプリの脆弱性に対する指摘はかなり以前から行われており、それを受けてアプリ開発者の側でも対策が進められている。同調査結果でも全体的には年々状況が改善している様子がうかがえる。しかしAndroidアプリの開発環境は年々進化し、新たな技術が次々と取り入れられているため、これまでにない脆弱性が新たに作りこまれてしまうケースも出てきている。(本記事は、「Androidアプリ脆弱性調査レポート」2017年4月版に掲載しているエグゼクティブサマリの抜粋記事です。)
Android アプリへのセキュリティ配慮の必要性
本調査を担当したソニーデジタルネットワークアプリケーションズ(以下、SDNA) 事業1部 セキュリティ技術課 課長 セキュリティビジネス責任者、CISSP 奥山謙氏は、過去二度の調査結果と比較した場合の今回調査の全体的な傾向について、次のように話す。
写真左からソニーデジタルネットワークアプリケーションズ株式会社 事業1部
セキュリティ技術課 課長 セキュリティビジネス責任者、CISSP 奥山謙氏、
事業1 部 セキュリティ技術課 小木曽 純氏
「脆弱性リスクのあるアプリの割合や、アクセス制御不備のあるアプリの割合などは、2013年から2015年にかけて減少傾向にあったのですが、今回の調査ではわずかに 増加傾向に転じています。Android アプリの脆弱性に起因するセキュリティリスクには、依然として注意を払う必要があるでしょう」
「脆弱性リスクのあるアプリの割合」と「アクセス制御不備のあるアプリの割合」
また今回から新たに、「利用者情報を使用するアプリ」に関する調査を実施。その結果、位置情報をはじめとする利用者情報を扱うアプリの数が増加傾向にあることが分かった。このことからも、Androidアプリのセキュリティに配慮する必要性が高まっている実情がうかがえる。
利用者情報使用アプリ 利用の種類と割合
暗号通信の普及が進む
本調査では、インターネット通信を行っているアプリの中で、暗号通信(HTTPS)を行っているアプリの割合を調べている。その結果、暗号通信を行うアプリは年々増加しているという調査結果が出たという。また、暗号通信が解読・改ざんされるリスクのあるアプリの割合も減少しており、一般のスマートフォンアプリ開発者の間でも暗号通信の重要性が浸透しつつある表れだと推測される。一方、対応が全体的に遅れている脆弱性も確認されている。
「Webアプリケーションの開発中にHTTPS認証を一時的に無効化し、そのまま誤って本番リリースしてしまうケースが散見されます。容易に回避できるにも関わらず、高いリスクを呼び込んでしまうこうした脆弱性を作り込まないよう留意する必要があるでしょう」
「暗号通信するアプリの割合」と「暗号通信が解読・改ざんされるアプリの割合」
この記事は参考になりましたか?
- この記事の著者
-
Security Online編集部(セキュリティ オンライン ヘンシュウブ)
Security Online編集部翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。デジタル時代を支える企業の情報セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしております。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社
この記事は参考になりましたか?
この記事をシェア
