アンドロイド、アプリの96%に脆弱性リスク

ソニーデジタルネットワークアプリケーションズ（SDNA）は2013年10月30日、「Android（アンドロイド）アプリ脆弱性レポート」を公開した。6170のアプリを調査したところ、5902件、すなわち96%に何らかの脆弱性リスク（脆弱性を持つ可能性）があった。

調査対象は、2013年8月28日までにアプリマーケットから取得したカテゴリーごとに人気の上位100位までのアプリ。脆弱性リスクの判定は、一般社団法人日本スマートフォンセキュリティ協会の「Android アプリのセキュア設計・セキュアコーディングガイド」の基準に従ってアプリを検査するSDNA製ツール「Secure Coding Checker」の解析エンジンを使用した。

脆弱性リスクとは、暗号通信やアクセス制御の実装の不備、ログ出力の設定の不備などにより、データが他のアプリから読み取られてしまうといった問題を指す。その際にデータが個人情報やパスワードなどではなく漏えいしてもかまわないものであれば問題はないが、今回はそこまで確認していない。そのため、脆弱性ではなく脆弱性リスクという表現になっている。

暗号通信するアプリのうち、HTTPSの扱い方の誤りなどにより暗号通信が解読・改ざんされる脆弱性リスクのあるアプリは39%だった。コンポーネントのアクセス制御に不備があるアプリは、全アプリの88%だった。

「Androidアプリ脆弱性レポート」は、SDNAのWebサイトからダウンロードできる。

（ITpro　高橋信頼）

[ITpro 2013年10月30日掲載]