Androidアプリの脆弱性調査結果公表、改善点と課題が浮き彫りにやや知識が必要な脆弱性への対応はこれから

ソニーデジタルネットワークアプリケーションズは2015年12月2日、Androidアプリの脆弱(ぜいじゃく)性の状況をまとめた「Android アプリ脆弱性調査レポート 2015年12月版」を公開した。

» 2015年12月03日 15時50分 公開
[高橋睦美@IT]

 ソニーデジタルネットワークアプリケーションズ(SDNA)は2015年12月2日、Androidアプリの脆弱(ぜいじゃく)性の状況についてまとめた「Android アプリ脆弱性調査レポート 2015年12月版」を公開した。2013年10月に行われた前回調査に比べ、全体としては改善が見られたという。

 この調査は、2015年8月18日から9月1日の間に公開されていたAndroidアプリのうち、ダウンロード数が1000件以上あったもの、1万1686件を対象にどのような脆弱性が存在するかを調べ、その傾向をまとめたものだ。これによると、何らかの脆弱性が存在するアプリは全体の93%。依然として高い数値ではあるが、前回調査の96%に比べ、わずかながら改善が見られた。

 ただ、脆弱性の内容によって比率は大きく異なるようだ。例えば「アクセス制御の不備」があるアプリは、前回は88%も存在していたが、今回は59%にまで減少している。その理由の一つとして、修正が容易でリスク低減にも効果があり、手をつけやすい脆弱性であることが挙げられるだろう。

 一方で、やや専門知識が求められる「暗号通信の実装」を見ると、むしろ事態は悪化している。暗号通信を実装するアプリの比率は前回の72%から88%へと増えており、これだけ見ればセキュリティ的に歓迎すべきことのように見える。だが、その実装が正しくないこともある。調査の結果、暗号通信が解読・改ざんされる恐れのあるアプリの割合は、残念ながら前回の39%から4ポイント増加し43%となった。また、DESやMD5といった危殆化したアルゴリズム(現在では解読が容易になってしまった弱い暗号アルゴリズム)を採用するなど、脆弱な暗号技術を用いているアプリの割合も62%に上っている。

 この結果の速報は、2015年10月1日に開催された「Application Security Super Briefing 2015 Fall」の中でも紹介されていた。SDNAの奥山謙氏は「全体で見れば脆弱性は若干減少しており、少なくとも意識は向上している。しかし、セキュリティに詳しくないと実装を間違ってしまう部分はあまり改善が見られなかった。セキュアコーディングの次のステップとして、セキュリティ機能の正しい実装法を知ってもらうことが必要だと考えている」と述べていた。

 この調査では、アプリの人気(=ダウンロード数)と脆弱性の関係についても考察が加えられた。基本的に、ダウンロード数が増えれば増えるほど脆弱性が存在するアプリの割合は高くなる。同社はこの理由を「人気のあるアプリほど機能が豊富であり、その結果として脆弱性リスクも多く抱える傾向がある」と推察している。

 だが面白いことに、ダウンロード数がある一定数、具体的には5000万件を超えると、逆に脆弱性リスクを抱えるアプリの割合は減っていく。これは「上位を占めるアプリは十分な収益力があるため、開発組織は脆弱性対策に十分な投資ができるだけでなく、むしろ高い収益力を維持するためにも積極的に脆弱性対策に投資するモチベーションが働いている」ことが理由と推測されるという。

 SDNAでは、全体としてAndroidアプリの脆弱性対策は進み、セキュリティに配慮する開発者が増えてきたと評価する一方で、私物のスマートフォンを業務に用いるBYODが広がり、業務用アプリと私用アプリが混在することを考えると、アプリの脆弱性が企業情報の漏えいにつながる恐れがあると指摘。脆弱性を可視化し、学ぶことによって対策を進めることが重要であるとし、日本スマートフォンセキュリティ協会が発行している「セキュアコーディングガイド」やそれに準拠したチェックが行える検査ツール「Secure Coding Checker」の試用版などを活用し、学習しながら対策を進めてほしいとしている。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。