かなり驚き!Androidアプリの脆弱性の多さ

いろいろ物騒な世の中だが、事件が起きれば警察が動きだし、被害者のために様々な捜査を行なってきた。それが、ついに被害者自身が犯人の居所を突き止める時代になったのだ。2013年は窃盗犯に盗まれたスマホやタブレットを被害者自身が「GPS位置検索」して位置を特定し、警察によって犯人逮捕という事件が数件起きた。その後には、警察がGPSで盗まれたタブレットの位置を検索し、これまた犯人逮捕。GPS大活躍だ。しかしこのように事件が報じられると、盗む方も見つからないように頭を使うようになる。大切なモバイル端末は、しっかりと身に付けておくのが第一だ。

そんなGPSを始めとして、いろいろ使える機能やアプリが盛りだくさんのスマホだが、ちょっと気になる調査があった。ソニーDNAが公開した「Androidアプリ脆弱性調査レポート」だ。まずは「何らかの脆弱性を持つアプリ-96%(5902件)。これはかなりな驚きだ。さらに「暗号通信を解読・改ざんされる可能性のあるアプリ-39%(1585件)。「HTTPS」で接続されているから安心だと思いきや、実は全く効果がなく悪意ある偽サーバーに接続されたり、通話内容を盗聴されたりという、恐ろしいことが起きているかもしれない。そして「コンポーネントのアクセス制御に不備があるアプリ-88%(5456件)。Androidアプリを構成しているのは4つの基本コンポーネント。それらにアクセス制御の不備があると「非公開設定」になっているにも関わらず、他のアプリから勝手にアクセスされてしまうというのだ。これは情報を盗み出される可能性が高まるので要注意だ。PCなどに比べて、とても不十分だという結果となったAndroidアプリの脆弱性対策。Androidアプリ開発者の皆さんがしっかりと脆弱性対策を講じてくれることを切に願う。そうすれば、安心していろいろなアプリを利用できるのだから。

しかしこの「脆弱性対策」はますます重要になっている。シマンテックの記者説明会での解説ではこうだ。脆弱性を突いてくるマルウェアはパターン・マッチングで検知して防御する。しかしマルウェアは果てしなく作り出されるし、標的型の攻撃ではそのパターンを捉えるのが困難だという。しかし、アプリ側の問題点で数が限られている「脆弱性」への攻撃を検知して防御すれば、より効率的で的確なのだ。アプリのいろいろな脆弱性からスマホをガードしてくれるのは、やっぱり信頼できる高機能のセキュリティソフト。しっかりスマホに入れておこう。

【出典】
GPSで犯人追跡 各社ニュースサイト
ソニーDNA 「Androidアプリ脆弱性調査レポート」2013.10
http://www.sonydna.com/sdna/topics/2013/pressrelease_20131030.html
シマンテック「脆弱性を突くWeb攻撃に関する記者説明会」 各社ニュースサイト