スマートフォンやタブレットなどのモバイル端末を危険にするのが、アプリケーションに潜む脆弱性だ。モバイル活用を進める上で知っておくべき5つの脆弱性を説明する。
モバイル端末は、セキュリティ議論で常に取り上げられるテーマだ。ただし、攻撃を媒介する役割を果たしているのは、ほとんどがモバイルアプリケーションである。データストレージの悪慣行やマルウェア、サイドローディング、暗号化の不備などの全てが、モバイルアプリケーションに脆弱性をもたらす。
モバイルアプリケーションに脆弱性が存在する大きな理由の1つは、経験不足のプログラマーがデータストレージに関して悪い習慣を持っていることだ。SQLiteなどのデータベースを利用すれば、ローカル端末にコンパクトなデータを保持できる。プログラマーがそれらのデータをむき出しのテキストやXMLフォーマットで保存するようにしてしまうと、それらは判読可能なプレーンテキストファイルであるため、アプリケーションのデータへのアクセスを簡単に許してしまうことになる。
ずさんな記述のアプリケーションでも実行してしまう、ロックされていないスマートフォンがあれば、端末に格納されたデータへアクセスするのは容易だ。モバイルアプリケーションに添付されたファイルを抽出し、照会するだけでよい。これで、アプリケーションに保存されているデータについて知りたいことは、全て分かる。もしデータベースがバックエンドシステムに接続していれば、さらに厄介なことになるだろう。モバイルアプリケーションにはこうした脆弱性があるため、機密性の高いデータは端末レベルで暗号化し、ネットワーク接続も同様に暗号化しなければならない。
Androidモバイルアプリケーションの脆弱性が、次第に大きな問題になってきた。米Googleのアプリケーションマーケット「Google Play」のオープンフォーマットが原因の1つだ。それ以外にも、アプリケーションの安全性が全く監視されず、ユーザーが勝手にアプリケーションをサイドロードできることが事態を悪化させている(※訳注)。米Googleは、マルウェア対策として「Google Bouncer」を開発した(参考:Androidの不正アプリは「Bouncer」で撲滅できるか)。ただしGoogle Playは、マルウェアが潜んだアプリケーションを完全に排除できているわけではない。悪意のあるモバイルアプリケーション開発者は、検出されないようにマルウェアを分割したり、人気のあるアプリケーションの名前をかたって、ユーザーにダウンロードさせたりしている。
※訳注:サイドロード:Google PlayやApple App Storeなどのオフィシャルなモバイルアプリケーション配信サービスを経由せずに、他の場所からアプリケーションを端末に直接インストールすること。
また、Android OSの一貫性のないアップデートやパッチも問題だ。ユーザーがAndroidのタイムリーなアップデートを期待することはできない。Googleの「Nexus」シリーズを除き、通信キャリアがアップデートスケジュールをコントロールしているからだ。このことが、Android端末に最新の脆弱性対策を備えさせることを一層難しくしている。
モバイルアプリケーションの脆弱性をカバーするマルウェア対策アプリケーションは、無料版とエンタープライズ向けの有料版がある。従業員のAndroid端末には、こうしたマルウェア対策を必須とすべきだ。ただ残念なことに、Android用のマルウェア対策アプリケーションは、Windowsのそれと違って、システムレベルのアクセスが許されていない。そのため、マルウェア対策アプリケーションが動作するサンドボックスでマルウェアをブロックするにも限界がある(参考:アプリの“自滅”でOS保護、進化する「サンドボックス」)。
モバイルアプリケーションをインストールしたら、必ずアクセス許可を得ることを徹底する。Androidモバイルアプリケーションの脆弱性やマルウェアに関する最良の対策は、こうしたユーザー教育だ。どのようなアプリケーションでも、Android端末で他のアプリケーションやデータへアクセスする前に、ユーザーの許可を得る必要がある。メールに添付されたファイルを安易に開かないように教育するのと同じように、アクセスすべきでないデータにアクセスしたいとアプリケーションが要求してきたら、ユーザーに注意させなければならない。
脆弱性に対処する必要があるのは、Androidアプリケーションに限らない。
Copyright © ITmedia, Inc. All Rights Reserved.
ソフトバンクロボティクスでは、働き方の変化や海外拠点の増加に対応する中で、ゼロトラストセキュリティを前提としたグローバルレベルのIT統制が必要となった。Appleデバイスを業務利用する同社は、どのようなアプローチを採用したのか。
スマートフォンの進化により、「ノートPCとの2台持ち」の必要性は薄れつつある。スマートフォンをノートPCとして使うための便利な方法を解説する。
テレワークの普及に伴い、スムーズな仕事を実現するだけではなく、ギークの知的好奇心さえも満たすガジェットが充実している。ギークが他のギークに“激推し”したくなるガジェットを紹介しよう。
AI(人工知能)技術の活用が広がる中で、スマートフォンの利用はどう変わろうとしているのか。Samsung Electronicsが発表したスマートフォン新シリーズ「Galaxy S24」を例にして、“AIスマホ”の特徴を紹介する。
ネットワークからデバイスを遮断する「機内モード」。それを悪用する攻撃が見つかった。「iOS」搭載デバイスを狙うその手口と危険性とは。
郢ァ�ャ郢ァ�ケ郢昜サ」ホ晉クコ蠕個謔滂スョ迚呻ソス隲、�ァ邵イ髦ェ�帝圷�ャ闕ウツ邵コ�ォ邵イ竏オ�・�ュ陷榊雀�、陋セ謫�邵コ�ィ邵コ�ョ闕ウ�。驕カ荵晢ス定楜貅ス讓溽クコ�ァ邵コ髦ェ笳��ソス鄂ー (2024/12/25)
PBX邵コ�ョ陋サ�キ隴�スー邵コ�ッ邵コ�ェ邵コ諛岩鴬邵コ�セ邵コ荳奇シ樒クコ荵昶�邵コ�ス�ス邵コ蜈キ�シ貅伉ツ騾�ソス鄂ー邵コ�ィ髫暦ス」雎趣スコ驕イ謔カ�定氣繧区束陞ウ�カ邵コ迹夲スァ�」髫ア�ャ (2024/11/22)
DX郢ァ蜻磯ォェ邵コ蛹サ�帰ndroid驕カ�ッ隴幢スォ4400陷ソ�ー郢ァ雋橸スョ迚呻ソス邵コ�ォ鬩慕距逡醍クイ�ス�エ�サ雎趣ソス鬩慕事�シ�ク邵コ�ォ陝�スヲ邵コ�カ陷帝亂窶ウ隴�スケ隰セ�ケ鬮ア�ゥ (2024/10/31)
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
![iPhone邵イ縲]droid郢ァ蜻磯埔鬨セ�ス邵コ蜷カ�狗クイ迹壺筏霑ッ�スツ髦ェ��クイ鄂ォoot陋ケ謔カツ髦ェ縲定抄霈披イ邵コ�ァ邵コ髦ェ�具ソス�ス](http://image.itmedia.co.jp/tt/news/2503/02/news01.jpg)
