Androidアプリ開発時に脆弱性をチェックする無償ツールが公開

IPAがAndroidアプリの脆弱性の学習・点検ツールを公開。Eclipseで利用できる。

[ITmedia]

　情報処理推進機構（IPA）4月11日、Androidアプリの脆弱性を学習したり、点検したりできるツール「AnCoLe（アンコール）」を公開した。IPAへの届出が多い脆弱性について7つのテーマで、実際に開発したアプリをチェックできる。

　AnCoLeは統合開発環境のEclipseに組み込んで利用する。開発中のアプリを読み込ませると脆弱性や問題点を点検し、結果では該当箇所のソースコードを把握できる。該当箇所については対策方法を学習できるようになっている。再点検を行って問題が無い場合は終了する。

　学習対象の脆弱性テーマは、「ファイルのアクセス制限不備」「コンポーネントのアクセス制限不備」「暗黙的Intentの不適切な使用」「不適切なログ出力」「WebViewの不適切な使用」「SSL通信の実装不備」「不必要な権限の取得」の7つ。いずれも情報漏えいやアプリの改ざんなどにつながる恐れがある。

AnCoLeの画面イメージ

　IPAによれば、Androidアプリの脆弱性の届出件数は2011年が20件、2012年が32件、2013年が117件と、年々増加している。