「iOS」のネットワーキングライブラリに脆弱性--2万件を超えるアプリに影響か

Liam Tung (Special to ZDNet.com) 翻訳校正: 編集部 2015年04月28日 11時15分

  • このエントリーをはてなブックマークに追加

 「iOS」アプリの開発で広く利用されているネットワークライブラリの古いバージョンに、SSL(Secure Sockets Layer)で暗号化されているはずの通信内容を攻撃者によって傍受される脆弱性が発見された。この報告を受けたライブラリの開発者は脆弱性を修正した最新バージョンを公開したが、古いバージョンのライブラリを使用しているiOSアプリは、すべて脆弱性の影響を受ける可能性がある。研究チームによると、影響を受けるiOSアプリの数は2万5000件に及ぶという。

 発見された脆弱性は、iOSアプリの開発時に使用されるネットワークライブラリ「AFNetworking」の問題に起因している。この脆弱性を調査しているアプリ分析サービス企業SourceDNAの発表によると、古いバージョンのAFNetworkingでは、「validatesDomainName」フラグで有効化できるドメイン名の検証がデフォルトで無効になっていたという。また、このバージョンでドメイン名の検証を有効化するには証明書ピニングを有効化する必要があるが、証明書ピニングを有効化しているiOSアプリ開発者はごく少数であった。

 結果として、脆弱性の影響を受けるiOSアプリでは通信時にドメイン名が検証されない。そのため、攻撃者は50ドルほどで販売されている任意のウェブサーバの正式なSSL証明書を用意するだけで、同じWi-Fiネットワークに接続しているユーザーのSSL通信を中間者攻撃で簡単に傍受し、個人情報を窃取したり、SSL通信の制御を奪ったりすることができる。

 脆弱性の影響を受けるiOSアプリの開発者は、何よりもまずAFNetworkingを最新バージョンの2.5.3に更新する必要がある。SourceDNAでは、さらに追加の防御策として、公開鍵または証明書のピニングを有効化するように呼びかけている。同社によると、ピニングが有効化されているiOSアプリは脆弱性の影響を受けないという。

 今回の事態を受けて、AFNetworkingは過去6週間に3回も更新され、数多くの脆弱性が修正されたが、直前のバージョン2.5.2では修正済みの問題が再発するなど、混乱が起きていた。つい先日GitHubで公開された最新のバージョン2.5.3では、公開鍵や証明書のピニング設定に関わらずドメイン名の検証が有効化されるなど、デフォルトのセキュリティポリシーが変更されている。

 脆弱性の検証を続けているセキュリティ企業Minded Securityは、「Pinterest」「Heroku」「Simple」をはじめとする数多くの人気アプリでも古いバージョンのAFNetworkingが使用されているとして、警告を発している。


この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]