2012年12月17日 08時00分 UPDATE
特集/連載

許可なくデータ送信するアプリもiOSでも過信は禁物、モバイルアプリを脅かす5つの脆弱性

スマートフォンやタブレットなどのモバイル端末を危険にするのが、アプリケーションに潜む脆弱性だ。モバイル活用を進める上で知っておくべき5つの脆弱性を説明する。

[Eric Beehler,TechTarget]

 モバイル端末は、セキュリティ議論で常に取り上げられるテーマだ。ただし、攻撃を媒介する役割を果たしているのは、ほとんどがモバイルアプリケーションである。データストレージの悪慣行やマルウェア、サイドローディング、暗号化の不備などの全てが、モバイルアプリケーションに脆弱性をもたらす。

データストレージの悪慣行

 モバイルアプリケーションに脆弱性が存在する大きな理由の1つは、経験不足のプログラマーがデータストレージに関して悪い習慣を持っていることだ。SQLiteなどのデータベースを利用すれば、ローカル端末にコンパクトなデータを保持できる。プログラマーがそれらのデータをむき出しのテキストやXMLフォーマットで保存するようにしてしまうと、それらは判読可能なプレーンテキストファイルであるため、アプリケーションのデータへのアクセスを簡単に許してしまうことになる。

 ずさんな記述のアプリケーションでも実行してしまう、ロックされていないスマートフォンがあれば、端末に格納されたデータへアクセスするのは容易だ。モバイルアプリケーションに添付されたファイルを抽出し、照会するだけでよい。これで、アプリケーションに保存されているデータについて知りたいことは、全て分かる。もしデータベースがバックエンドシステムに接続していれば、さらに厄介なことになるだろう。モバイルアプリケーションにはこうした脆弱性があるため、機密性の高いデータは端末レベルで暗号化し、ネットワーク接続も同様に暗号化しなければならない。

マルウェアの混入

 Androidモバイルアプリケーションの脆弱性が、次第に大きな問題になってきた。米Googleのアプリケーションマーケット「Google Play」のオープンフォーマットが原因の1つだ。それ以外にも、アプリケーションの安全性が全く監視されず、ユーザーが勝手にアプリケーションをサイドロードできることが事態を悪化させている(※訳注)。米Googleは、マルウェア対策として「Google Bouncer」を開発した(参考:Androidの不正アプリは「Bouncer」で撲滅できるか)。ただしGoogle Playは、マルウェアが潜んだアプリケーションを完全に排除できているわけではない。悪意のあるモバイルアプリケーション開発者は、検出されないようにマルウェアを分割したり、人気のあるアプリケーションの名前をかたって、ユーザーにダウンロードさせたりしている。

※訳注:サイドロード:Google PlayやApple App Storeなどのオフィシャルなモバイルアプリケーション配信サービスを経由せずに、他の場所からアプリケーションを端末に直接インストールすること。

 また、Android OSの一貫性のないアップデートやパッチも問題だ。ユーザーがAndroidのタイムリーなアップデートを期待することはできない。Googleの「Nexus」シリーズを除き、通信キャリアがアップデートスケジュールをコントロールしているからだ。このことが、Android端末に最新の脆弱性対策を備えさせることを一層難しくしている。

 モバイルアプリケーションの脆弱性をカバーするマルウェア対策アプリケーションは、無料版とエンタープライズ向けの有料版がある。従業員のAndroid端末には、こうしたマルウェア対策を必須とすべきだ。ただ残念なことに、Android用のマルウェア対策アプリケーションは、Windowsのそれと違って、システムレベルのアクセスが許されていない。そのため、マルウェア対策アプリケーションが動作するサンドボックスでマルウェアをブロックするにも限界がある(参考:アプリの“自滅”でOS保護、進化する「サンドボックス」)。

不正アクセス

 モバイルアプリケーションをインストールしたら、必ずアクセス許可を得ることを徹底する。Androidモバイルアプリケーションの脆弱性やマルウェアに関する最良の対策は、こうしたユーザー教育だ。どのようなアプリケーションでも、Android端末で他のアプリケーションやデータへアクセスする前に、ユーザーの許可を得る必要がある。メールに添付されたファイルを安易に開かないように教育するのと同じように、アクセスすべきでないデータにアクセスしたいとアプリケーションが要求してきたら、ユーザーに注意させなければならない。

 脆弱性に対処する必要があるのは、Androidアプリケーションに限らない。

この記事を読んだ人にお薦めの関連記事

この記事を読んだ人にお薦めのホワイトペーパー

Loading

注目テーマ

ITmedia マーケティング新着記事

news002.jpg

ユーザーと共に作る広告、期待と課題は? JIMOS担当者と語る
UGC(ユーザー生成コンテンツ)を広告に活用している企業ではどのような効果や課題を感じ...

news095.png

フロムスクラッチ、「b→dash」にGUIで自由にデータマートを作成できる新機能を追加
フロムスクラッチは、マーケティングプラットフォーム「b→dash」において、データウェア...

news077.jpg

電通が学生と企業の共創プロジェクト「βutterfly」を開発、企業向けにスポンサードプランを提供
電通は、顧客企業と学生の協働型プロジェクト「βutterfly」を開始すると発表した。β版...