Android アプリへのセキュリティ配慮の必要性
本調査を担当したソニーデジタルネットワークアプリケーションズ(以下、SDNA) 事業1部 セキュリティ技術課 課長 セキュリティビジネス責任者、CISSP 奥山謙氏は、過去二度の調査結果と比較した場合の今回調査の全体的な傾向について、次のように話す。
写真左からソニーデジタルネットワークアプリケーションズ株式会社 事業1部
セキュリティ技術課 課長 セキュリティビジネス責任者、CISSP 奥山謙氏、
事業1 部 セキュリティ技術課 小木曽 純氏
「脆弱性リスクのあるアプリの割合や、アクセス制御不備のあるアプリの割合などは、2013年から2015年にかけて減少傾向にあったのですが、今回の調査ではわずかに 増加傾向に転じています。Android アプリの脆弱性に起因するセキュリティリスクには、依然として注意を払う必要があるでしょう」
「脆弱性リスクのあるアプリの割合」と「アクセス制御不備のあるアプリの割合」
また今回から新たに、「利用者情報を使用するアプリ」に関する調査を実施。その結果、位置情報をはじめとする利用者情報を扱うアプリの数が増加傾向にあることが分かった。このことからも、Androidアプリのセキュリティに配慮する必要性が高まっている実情がうかがえる。
利用者情報使用アプリ 利用の種類と割合
暗号通信の普及が進む
本調査では、インターネット通信を行っているアプリの中で、暗号通信(HTTPS)を行っているアプリの割合を調べている。その結果、暗号通信を行うアプリは年々増加しているという調査結果が出たという。また、暗号通信が解読・改ざんされるリスクのあるアプリの割合も減少しており、一般のスマートフォンアプリ開発者の間でも暗号通信の重要性が浸透しつつある表れだと推測される。一方、対応が全体的に遅れている脆弱性も確認されている。
「Webアプリケーションの開発中にHTTPS認証を一時的に無効化し、そのまま誤って本番リリースしてしまうケースが散見されます。容易に回避できるにも関わらず、高いリスクを呼び込んでしまうこうした脆弱性を作り込まないよう留意する必要があるでしょう」
「暗号通信するアプリの割合」と「暗号通信が解読・改ざんされるアプリの割合」
