iOSでも過信は禁物、モバイルアプリを脅かす5つの脆弱性：許可なくデータ送信するアプリも

スマートフォンやタブレットなどのモバイル端末を危険にするのが、アプリケーションに潜む脆弱性だ。モバイル活用を進める上で知っておくべき5つの脆弱性を説明する。

[Eric Beehler，TechTarget]

　モバイル端末は、セキュリティ議論で常に取り上げられるテーマだ。ただし、攻撃を媒介する役割を果たしているのは、ほとんどがモバイルアプリケーションである。データストレージの悪慣行やマルウェア、サイドローディング、暗号化の不備などの全てが、モバイルアプリケーションに脆弱性をもたらす。

関連記事

• AndroidのマルウェアがiOSよりも多い理由
• Androidアプリの40％が欠陥品!?　原因は安易な開発姿勢
• Androidの危険はモバイルアプリ管理「MAM」で減るか

データストレージの悪慣行

　モバイルアプリケーションに脆弱性が存在する大きな理由の1つは、経験不足のプログラマーがデータストレージに関して悪い習慣を持っていることだ。SQLiteなどのデータベースを利用すれば、ローカル端末にコンパクトなデータを保持できる。プログラマーがそれらのデータをむき出しのテキストやXMLフォーマットで保存するようにしてしまうと、それらは判読可能なプレーンテキストファイルであるため、アプリケーションのデータへのアクセスを簡単に許してしまうことになる。

　ずさんな記述のアプリケーションでも実行してしまう、ロックされていないスマートフォンがあれば、端末に格納されたデータへアクセスするのは容易だ。モバイルアプリケーションに添付されたファイルを抽出し、照会するだけでよい。これで、アプリケーションに保存されているデータについて知りたいことは、全て分かる。もしデータベースがバックエンドシステムに接続していれば、さらに厄介なことになるだろう。モバイルアプリケーションにはこうした脆弱性があるため、機密性の高いデータは端末レベルで暗号化し、ネットワーク接続も同様に暗号化しなければならない。

関連記事

• モバイル端末からの情報漏えいを防止する暗号化アプリの重要性（ホワイトペーパー）
• PR：「暗号化」「仮想化」で防ぐ、モバイル時代の一歩進んだ情報漏えい対策

マルウェアの混入

　Androidモバイルアプリケーションの脆弱性が、次第に大きな問題になってきた。米Googleのアプリケーションマーケット「Google Play」のオープンフォーマットが原因の1つだ。それ以外にも、アプリケーションの安全性が全く監視されず、ユーザーが勝手にアプリケーションをサイドロードできることが事態を悪化させている（※訳注）。米Googleは、マルウェア対策として「Google Bouncer」を開発した（参考：Androidの不正アプリは「Bouncer」で撲滅できるか）。ただしGoogle Playは、マルウェアが潜んだアプリケーションを完全に排除できているわけではない。悪意のあるモバイルアプリケーション開発者は、検出されないようにマルウェアを分割したり、人気のあるアプリケーションの名前をかたって、ユーザーにダウンロードさせたりしている。

※訳注：サイドロード：Google PlayやApple App Storeなどのオフィシャルなモバイルアプリケーション配信サービスを経由せずに、他の場所からアプリケーションを端末に直接インストールすること。

関連記事

• 「最大のリスク」はアプリケーションストアのマルウェア
• AndroidのマルウェアがiOSよりも多い理由

　また、Android OSの一貫性のないアップデートやパッチも問題だ。ユーザーがAndroidのタイムリーなアップデートを期待することはできない。Googleの「Nexus」シリーズを除き、通信キャリアがアップデートスケジュールをコントロールしているからだ。このことが、Android端末に最新の脆弱性対策を備えさせることを一層難しくしている。

　モバイルアプリケーションの脆弱性をカバーするマルウェア対策アプリケーションは、無料版とエンタープライズ向けの有料版がある。従業員のAndroid端末には、こうしたマルウェア対策を必須とすべきだ。ただ残念なことに、Android用のマルウェア対策アプリケーションは、Windowsのそれと違って、システムレベルのアクセスが許されていない。そのため、マルウェア対策アプリケーションが動作するサンドボックスでマルウェアをブロックするにも限界がある（参考：アプリの“自滅”でOS保護、進化する「サンドボックス」）。

関連記事

• どれを選ぶ？　Android端末向けセキュリティ対策ソフト比較

不正アクセス

　モバイルアプリケーションをインストールしたら、必ずアクセス許可を得ることを徹底する。Androidモバイルアプリケーションの脆弱性やマルウェアに関する最良の対策は、こうしたユーザー教育だ。どのようなアプリケーションでも、Android端末で他のアプリケーションやデータへアクセスする前に、ユーザーの許可を得る必要がある。メールに添付されたファイルを安易に開かないように教育するのと同じように、アクセスすべきでないデータにアクセスしたいとアプリケーションが要求してきたら、ユーザーに注意させなければならない。

　脆弱性に対処する必要があるのは、Androidアプリケーションに限らない。