Android アプリへのセキュリティ配慮の必要性
本調査を担当したソニーデジタルネットワークアプリケーションズ(以下、SDNA) 事業1部 セキュリティ技術課 課長 セキュリティビジネス責任者、CISSP 奥山謙氏は、過去二度の調査結果と比較した場合の今回調査の全体的な傾向について、次のように話す。
写真左からソニーデジタルネットワークアプリケーションズ株式会社 事業1部
セキュリティ技術課 課長 セキュリティビジネス責任者、CISSP 奥山謙氏、
事業1 部 セキュリティ技術課 小木曽 純氏
「脆弱性リスクのあるアプリの割合や、アクセス制御不備のあるアプリの割合などは、2013年から2015年にかけて減少傾向にあったのですが、今回の調査ではわずかに 増加傾向に転じています。Android アプリの脆弱性に起因するセキュリティリスクには、依然として注意を払う必要があるでしょう」
「脆弱性リスクのあるアプリの割合」と「アクセス制御不備のあるアプリの割合」
また今回から新たに、「利用者情報を使用するアプリ」に関する調査を実施。その結果、位置情報をはじめとする利用者情報を扱うアプリの数が増加傾向にあることが分かった。このことからも、Androidアプリのセキュリティに配慮する必要性が高まっている実情がうかがえる。
利用者情報使用アプリ 利用の種類と割合
暗号通信の普及が進む
本調査では、インターネット通信を行っているアプリの中で、暗号通信(HTTPS)を行っているアプリの割合を調べている。その結果、暗号通信を行うアプリは年々増加しているという調査結果が出たという。また、暗号通信が解読・改ざんされるリスクのあるアプリの割合も減少しており、一般のスマートフォンアプリ開発者の間でも暗号通信の重要性が浸透しつつある表れだと推測される。一方、対応が全体的に遅れている脆弱性も確認されている。
「Webアプリケーションの開発中にHTTPS認証を一時的に無効化し、そのまま誤って本番リリースしてしまうケースが散見されます。容易に回避できるにも関わらず、高いリスクを呼び込んでしまうこうした脆弱性を作り込まないよう留意する必要があるでしょう」
「暗号通信するアプリの割合」と「暗号通信が解読・改ざんされるアプリの割合」
マルチプラットフォーム開発ツールに起因する脆弱性
前回調査(2015年)と今回調査(2017年)の間に、Androidアプリ開発を取り巻く環境は大きく変わったという。最大のトピックは、異なるOS向けのアプリを単一のソースコードから生成できる「マルチプラットフォーム開発ツール」の利用が広まってきたことだ。
中でも開発ツール「Cordova」の普及は、目覚ましいものがある。今回の調査対象となったAndroid アプリの中にも、Cordovaを使って開発されたものが一定数含まれていたが、調査を担当したソニーデジタルネットワークアプリケーションズ株式会社 事業1 部 セキュリティ技術課 小木曽純氏は、「使い方を誤ると脆弱性の要因になり得る」と指摘する。
「古いバージョンのCordovaを使って開発されたAndroid アプリには、脆弱性が存在することが知られています。そのため、Cordovaを使ってアプリを開発する際には新しいバージョンを使うよう気をつけるとともに、現在でも古いバージョンで開発されたアプリが一定数流通していることを常に気に留めておくべきでしょう」
Cordova使用アプリと脆弱性
アプリ脆弱性対策の第一歩は「可視化」から
脆弱性の傾向や詳細が分かったとしても、自社で開発したAndroidアプリに含まれる脆弱性を把握できないことには、どこからどう手を付けたらいいか分からない。かといって、膨大な量のソースコードの内容を精査したり、外部のセキュリティサービスに調査を依頼するとなると、多大な時間とコストがかかる。
そこでSDNAでは、既存のAndroidアプリにどんな脆弱性が存在し、それに対してどんな対処を講じればいいかを即座に可視化できるツールを提供している。無償のトライアル版も提供しているので、脆弱性対策の第一歩としてぜひ役立ててほしい。
【関連リンク】
