SSL証明書の扱いが不適切なAndroidアプリ380件--CERTがリストを公開

Liam Tung (ZDNET.com) 翻訳校正: 編集部

2014-09-08 12:07

 ここ数年のスマートフォン普及により、出会い系からバンキングまでモバイルアプリでさまざまなことができるようになった。しかし、通常のウェブサイトは伝送過程でデータの安全対策を講じているのに対し、モバイルアプリ開発者は適切に対策しておらず、ユーザーのデータが不必要に覗き見される可能性につながっているという--このリスクは公衆のWi-Fiを利用時は深刻になる。

 カーネギーメロン大学に設置されているコンピュータ緊急事態対策チーム(CERT)のWill Dormann氏によると、モバイルアプリにおいてHTTPS通信で必要になる有効なSSL証明書を開発者が適切に使用していないという問題がよくみられるという。

 安全ではないアプリを一掃することを目的に、Dormann氏はユーザーのデータを傍受の危険にさらしているとして、Google PlayとAmazonのアプリストアで公開されている約380のアプリ名を公表した。

 公表されたアプリの中には、人気の「SwiftKey Keyboard」「μTorrent Remote」の名前もあり、セキュリティ、チケット、出会い系、ゲーム、モバイルバンキングと多岐に及んでいる(なお、SwiftKeyの開発者は米ZDNetに対し、すぐにでもSSL証明書の有効性を修正したものをリリースすると述べている)。

 Dormann氏が指摘しているように、この問題はすでに連邦取引委員会(FTC)内でも課題視されている。FTCは8月、FandangoとCredit Karmaの2社に対し、自社が提供するiOSとAndroidのモバイルアプリで安全な通信を約束しながら実際はSSL証明書による認証を無効にしていたことをユーザーに通知するよう命じている。2社ともに、アプリが行う通信から攻撃者がクレジットカードやその他の個人情報を傍受できるようになっていたという。

 モバイルアプリにおけるSSLの問題は他の研究者もすでに指摘しているが、関連する製品のベンダーに通知していない、あるいは関連する製品名を公開していないことから、不十分だとDormann氏は見ている。また、通常は脆弱性が発見されると関連するベンダーに通知し、その後45日経過して脆弱性情報を公開するというセキュリティ業界の慣例にも従わなかった。

 Dormann氏はこれについて、以下の2つの理由を挙げている。

  • 攻撃者が中間者攻撃(Man-In-The-Middle Attack:MITM)に関心を持っているなら、すでに実行しているだろうと考えられる。
  • どのアプリが影響しているのかの情報があれば、自分のスマートフォンに脆弱なアプリをインストールしているエンドユーザーは対策を講じることができる。

 では、自分がインストールしているアプリが傍受のリスクがあるとわかった場合、どうすればよいか。CERTは、アプリではなくブラウザを使ってリソースにアクセスするよう推奨している。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    「2024年版脅威ハンティングレポート」より—アジアでサイバー攻撃の標的になりやすい業界とは?

  4. セキュリティ

    生成AIを利用した標的型攻撃とはどのようなものなのか?実態を明らかにして効果的な対策を考える

  5. ビジネスアプリケーション

    Microsoft 365で全てを完結しない選択、サイボウズが提示するGaroonとの連携による効果

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]