乱造されるモバイルアプリの脆弱性が問題に――IBMが警告

2014年に発覚した脆弱性が激増し、特にモバイルアプリが大半を占める。IBMが適切な対応を呼び掛けた。

[國谷武史，ITmedia]

　日本IBMは4月23日、同社セキュリティ研究部門の「X-Force」が取りまとめた報告書の2014年版を公開した。報告書ではモバイルアプリにおける脆弱性対応での問題を指摘している。

　それによると、同社が2014年に把握した脆弱性は3万件近くに上る。2013年は約8400件で、1年で3倍以上も増えた格好だ。増加分の大半は、同年9月に発覚したSSL証明書の検証不備の脆弱性を抱えたAndroidアプリが占めているという。

脆弱性の公開状況（IBM資料より）

　この脆弱性は、HTTPS通信時にSSL証明書が適切に検証されないというもので、中間者攻撃などに悪用されれば、通信内容の盗聴や改ざんなどの恐れがある。米カーネギーメロン大学などが運営するCERT/CCが同年10月に調査したところ、2万3600以上のアプリで問題が見つかった。

CERT/CCによる脆弱性の注意喚起

　日本IBM セキュリティーシステムズ事業部の矢崎誠二技術部長によれば、この脆弱性を除けばX-Forceが把握した脆弱性は約9200件で、2013年比では9％程度の増加になる。

　X-Forceは2014年8月に、オープンソースのアプリ開発ツール「Apache Cordova」（旧PhoneGap）で3件の脆弱性を発見した。CordovaはAndroidアプリの6％で利用されているが、企業が開発するアプリでは12％になり、特に医療や金融の企業が開発するアプリに使われているという。攻撃では不正なWebサイトをユーザーに閲覧させることで、Cordovaベースのアプリに関連付けられたcookieなどの情報を盗み出せる。攻撃者がオンラインバンキングアプリから不正にログインして、正規ユーザーの口座から金を盗むことができてしまう。

日本IBM セキュリティーシステムズ事業部の矢崎誠二技術部長

　この脆弱性に関してGoogleは、Cordovaを利用する開発者に対策を呼び掛けたものの、2015年2月時点でオンラインバンキングアプリの59％が脆弱性を放置したままだった。

　IBMでは開発者に、ユーザーを保護する姿勢やセキュリティ上の問題を迅速に修正するプロセスの確立を求めている。特にモバイルアプリを開発したり提供したりする企業には、アプリ製品の脆弱性に対応する体制の構築と運用、下位互換性を維持した効率的なアップデートプロセスが求められ、アプリのコードとフレームワークを完全に分離してセキュリティ問題に対処することも重要だとしている。