ここ数年のスマートフォン普及により、出会い系からバンキングまでモバイルアプリでさまざまなことができるようになった。しかし、通常のウェブサイトは伝送過程でデータの安全対策を講じているのに対し、モバイルアプリ開発者は適切に対策しておらず、ユーザーのデータが不必要に覗き見される可能性につながっているという--このリスクは公衆のWi-Fiを利用時は深刻になる。
カーネギーメロン大学に設置されているコンピュータ緊急事態対策チーム(CERT)のWill Dormann氏によると、モバイルアプリにおいてHTTPS通信で必要になる有効なSSL証明書を開発者が適切に使用していないという問題がよくみられるという。
安全ではないアプリを一掃することを目的に、Dormann氏はユーザーのデータを傍受の危険にさらしているとして、Google PlayとAmazonのアプリストアで公開されている約380のアプリ名を公表した。
公表されたアプリの中には、人気の「SwiftKey Keyboard」「μTorrent Remote」の名前もあり、セキュリティ、チケット、出会い系、ゲーム、モバイルバンキングと多岐に及んでいる(なお、SwiftKeyの開発者は米ZDNetに対し、すぐにでもSSL証明書の有効性を修正したものをリリースすると述べている)。
Dormann氏が指摘しているように、この問題はすでに連邦取引委員会(FTC)内でも課題視されている。FTCは8月、FandangoとCredit Karmaの2社に対し、自社が提供するiOSとAndroidのモバイルアプリで安全な通信を約束しながら実際はSSL証明書による認証を無効にしていたことをユーザーに通知するよう命じている。2社ともに、アプリが行う通信から攻撃者がクレジットカードやその他の個人情報を傍受できるようになっていたという。
モバイルアプリにおけるSSLの問題は他の研究者もすでに指摘しているが、関連する製品のベンダーに通知していない、あるいは関連する製品名を公開していないことから、不十分だとDormann氏は見ている。また、通常は脆弱性が発見されると関連するベンダーに通知し、その後45日経過して脆弱性情報を公開するというセキュリティ業界の慣例にも従わなかった。
Dormann氏はこれについて、以下の2つの理由を挙げている。
- 攻撃者が中間者攻撃(Man-In-The-Middle Attack:MITM)に関心を持っているなら、すでに実行しているだろうと考えられる。
- どのアプリが影響しているのかの情報があれば、自分のスマートフォンに脆弱なアプリをインストールしているエンドユーザーは対策を講じることができる。
では、自分がインストールしているアプリが傍受のリスクがあるとわかった場合、どうすればよいか。CERTは、アプリではなくブラウザを使ってリソースにアクセスするよう推奨している。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。