ドイツの大学が、Android端末向けアプリ1万3500本を対象にセキュリティに関する調査を行った。それによると、調査対象のうち1074本が脆弱(ぜいじゃく)性の問題を抱えていたという。データ保護技術の専門家は、セキュリティに対するアプリ開発者の意識の低さを指摘している。
周知の通り、スマートフォンの利用者数は増加の一途をたどっている。その普及を後押ししたのは、アプリケーションソフトウェア(以下、アプリ)を自由に追加することにより、端末の機能をカスタマイズできるというスマートフォンの特質だ。ユーザーにとっての利便性が向上する一方で、端末のセキュリティという観点からは、憂慮すべき状況が進行したと言えるのかもしれない。
2012年10月、ドイツのライプニッツ大学とマールブルク大学の研究グループが、Android端末向けアプリのセキュリティに関するリポートを発表した。このリポートでは、調査の対象とした1万3500本の無料アプリのうち1074本が、SSL(Secure Socket Layer)の実装が不十分であることが原因で、攻撃に対する脆弱(ぜいじゃく)性を抱えているという結果を報告している。
EE Timesは、米国のThales e-SecurityのMark Knight氏にインタビューを行い、アプリの脆弱性の問題について話を聞くことにした。同社は、航空/宇宙、防衛、セキュリティなどの分野を対象とする大手電機企業、フランスThalesのグループ会社であり、データ保護用の製品/サービスの提供を行っている。Thales e-Securityのデータ保護技術は、世界各国に設置されているATM(現金自動預払機)の約80%に採用されているという。
Knight氏に聞いた話からすると、Android向けアプリのセキュリティの問題については、アプリの開発者にその要因があるようだ。同氏によれば、「PCだけを対象にしていればよかった時代の開発者は、SSL/TLS(Transport Layer Security)プロトコルを使用して、WebブラウザとWebサイトの接続におけるセキュリティを確保していた。当時は、このような不完全に思える手法でも十分に機能し、優れたセキュリティを提供することができていた」という。しかし、スマートフォン向けに数えきれないほどのアプリが存在する現在、PCの全盛期に使われていたセキュリティ確保のための手法は機能しなくなっている。個々のアプリは、アプリ開発者のサーバーに直接接続するように設計されているからだ。つまり、「現在は、アプリの開発者がセキュリティに関する決定権を握っている」(Knight氏)ということである。
ライプニッツ大学/マールブルク大学のリポートによれば、「基本的なセキュリティチェックすら行っていないアプリの数が1000本にも上った」という。また、同リポートは「SSLの実装方法が根本的に間違っているアプリもあった。さらに、SSLによる保護を介さずに呼び出しを開始するようになっているアプリも存在する。この場合、ユーザー名やパスワードといった個人情報が漏えいする危険にさらされることになる」とも指摘している。
ただし、Knight氏は、「Android端末のセキュリティが、他のOSを搭載する携帯電話端末より劣っているかどうかは定かではない」とも述べている。同氏が強調するのは、「Android向けアプリの開発者の方が、セキュリティの管理について強い権限を持っている」ということである。例えば、SSLの実装についても幅広い選択肢が存在し、開発者が一部のセキュリティ対策を無効にすることも可能なのだ。
Knight氏は、「問題なのは、多くの小規模なアプリ開発業者が、セキュリティを軽視しがちな傾向にあることだ。しかも、アプリの開発業者が重要な情報を保護するためにどのような手法を採用しているのかを、消費者が見極めるのは非常に難しい」と語った。
【翻訳:田中留美、編集:EE Times Japan】
Copyright © ITmedia, Inc. All Rights Reserved.