96％のアプリになんらかの脆弱性あり、SDNAがレポート

ソニーデジタルネットワークアプリケーションズ株式会社（SDNA）は10月30日、現在マーケットに公開されている多種多様なAndroidスマートフォンアプリケーションから、「脆弱性のあるアプリ」の動向について分析した「Androidアプリ脆弱性調査レポート」の最新版、2013年10月版を公開した。

調査は、一般社団法人日本スマートセキュリティ協会の「Androidアプリのセキュア設計・セキュアコーディングガイド」を基準とし、SDNAの脆弱性検査ツール「Secure Coding Checker」の解析エンジンを活用して行った。調査対象は2013年8月28日までに取得したapkファイル6170件という。カテゴリーごとに人気の上位100位までを選択抽出したそうだ。

（画像はプレスリリース資料より）

調査の結果、6170件のアプリのうち、なんらかの脆弱性をもつ可能性のある「脆弱性リスクのアプリ」は5902件、96％にも及んだという。WebアプリやPCアプリで脆弱性対策が進む中、スマートフォンアプリでは、対策が実施されていない状況であることがうかがえる。より個人情報のプライバシー度合いが高いスマートフォンアプリであるだけに、対策は喫緊の課題であるとされている。

また、インターネット通信を行うアプリは5632件（91％）、そのうち4030件（72％）のアプリは暗号通信方式HTTPSにより通信内容を保護していたが、1585件（39％）のアプリは、HTTPSの扱い方を誤っていることなどから、暗号通信を解読、改ざんされてしまう脆弱性リスクがあったそうだ。

Androidアプリは、4種類のコンポーネントを組み合わせて作成するが、アプリ内のコンポーネントが他のアプリから勝手に利用されると、コンポーネント内の情報が漏えいするといった被害につながることがある。こうした被害への対策のアクセス制御は基本だが、5456件（88％）のアプリでは正しくアクセス制御されておらず、アプリ開発者に基本的な脆弱性対策の知識が不足している実態が浮き彫りとなった。

このほか、ユーザーやほかのアプリケーションが参照可能なログ情報は、機密情報を含むこともあるため、リリース版アプリでは使用されていてはならないAPIがあるが、5300件（86％）のアプリでこのリリース時禁止ログ関数が見つかっており、この点も開発者に広く認知されていないことがうかがえる。

SDNAでは、こうした調査結果を受け、脆弱性のないアプリを作成するためには、十分なセキュリティの基礎知識を得ることが不可欠であり、日本スマートフォンセキュリティ協会（JSSEC）発行のセキュアコーディングガイドや解説DVD、SDNAのツール「Secure Coding Checker」を用いることを対策として薦めている。




SDNA　プレスリリース
http://www.sonydna.com/sdna/topics/2013/

JSSEC　セキュアコーディングガイド
http://www.jssec.org/report/securecoding.html

SDNA　Secure Coding Checker
http://www.sonydna.com/sdna/solution/scc.html