ソニーデジタルネットワークアプリケーションズは、Androidアプリから、「脆弱性のあるアプリ」の動向について分析した結果をまとめた「Android アプリ脆弱性調査レポート 2017年4月版」を公開した。レポートでは、これまでのデータを踏まえ、現在のAndroid アプリの脆弱性状況の分析結果と、開発者が脆弱性に対処するための「実践的な脆弱性対策」を解説している。
レポートの概要は以下のとおり(プレスリリースより)。
○セキュリティ対策の傾向
前回調査(2013、2015)との比較により、アプリの脆弱性対策は全体的には年々状況が改善している様子がうかがえました。脆弱性対策の取り組み状況の指標となる“アクセス制御不備”の割合をみると、前回までの調査では88%から59%へと減少傾向にあったものの、今回調査では68%とわずかに増加傾向に転じています。全体的には改善傾向にあるももの、依然として注意を払う必要があることがみてとれます。
○利用者情報を使用するアプリ
今回から新たに、「利用者情報を使用するアプリ」に関する調査を実施しました。その結果、位置情報をはじめとする利用者情報を扱うアプリの割合は約52.2%にものぼり、またその数は増加傾向にあることが分かりました。このことからも、Android アプリのセキュリティに配慮する必要性が高まっている実情がうかがえます。
○マルチプラットフォーム開発ツールに起因する脆弱性
前回調査(2015年)と今回調査(2017年)の間に、Android アプリ開発を取り巻く環境は大きく変わり、その最大のトピックは、異なるOS 向けのアプリを単一のソースコードから生成できる「マルチプラットフォーム開発ツール」の利用が広まってきたことです。今回の調査対象となったAndroid アプリの中にも、多くの技術者に支持され、劇的な普及を遂げた開発ツール「Cordova」を使って開発されたものが一定数含まれていました。古いバージョンのCordovaを使って開発したAndroidアプリケーションには、脆弱性が作り込まれてしまうことが知られており、調査では全体の約12%のアプリにおいてこの脆弱性が作り込まれていることがわかりました。
○実践的な脆弱性対策
リスク対策は脆弱性を可視化し、学ぶことから始まります。これから脆弱性対策を始める開発組織、自社使用アプリの脆弱性をチェックしたことのなかった企業へ問題点の可視化、ひいては学習を行えるソリューションとして一般社団法人日本スマートフォンセキュリティ協会発行のセキュアコーディングガイドや検査ツール(Secure Coding Checker)をご紹介しています。
