SONY

Press Release   

TOPICS一覧へ戻る

2013年10月30日
2014年7月30日訂正
ソニーデジタルネットワークアプリケーションズ株式会社

「Android アプリ脆弱性調査レポート 2013年10月版」を公開


Android アプリ脆弱性調査レポート 2013年10月版


ソニーデジタルネットワークアプリケーションズ株式会社は、マーケットに公開されているAndroidスマートフォンアプリケーション(apkファイル※1)から、「脆弱性のあるアプリ」の動向について分析した結果をまとめた、「Androidアプリ脆弱性調査レポート 2013年10月版」を公開しました。

スマートフォンは私たちの生活を魅力的なものにしてくれる便利なツールですが、アプリケーション開発の自由度が高いが故に、脆弱性(セキュリティホール)も作りやすく、それを悪用する人たちがいるのも事実で、社会問題にもなっています。

本レポートでは、WebアプリケーションやPCアプリケーションにおいて必須となっている脆弱性対策が、スマートフォンアプリケーションではほとんど実施されていないという状況(「脆弱性リスクの傾向」)や、「通信」、「コンポーネントのアクセス制御」といった点から行った分析結果の説明と、開発者が脆弱性に対処するための、「実践的な脆弱性対策」を解説しています。


※1 :2013年8月28日までに取得したapkファイル、全6,170件。マーケットに公開されているカテゴリごとに人気の上位100位までを選択して抽出。


レポートについて

発行日:2013年10月30日
レポート:Android アプリ脆弱性調査レポート 2013年10月版(pdf)
レポートは問い合わせフォームよりお申し込みください。
    Android アプリ脆弱性調査レポート ダウンロードはこちらから

概要

脆弱性リスクの傾向

調査対象アプリケーション6,170件のうち、5,902件(96%)が何らかの脆弱性を持っている可能性があることがわかりました。スマートフォンは個人情報のプライバシー度合が高く、被害が大きくなる傾向にあるため、脆弱性対策は喫緊の課題であると言えます。

通信

インターネット通信をするアプリケーションは5,632件(91%)あり、インターネットに常時接続されているというスマートフォンの最大の特徴・メリットを生かすアプリケーションが多いことがわかります。更に4,030件(72%)が、HTTPSによる通信内容の保護を行っていましたが、誤った扱い方をしているために暗号通信が解読・改ざんされるリスクのあるアプリケーションが1,585件(39%)ありました。

コンポーネントのアクセス制御

Android アプリケーションは4種類のコンポーネント(部品)を組み合わせて作成します。アプリケーション内のコンポーネントが他のアプリから勝手に利用されると、コンポーネント内で扱う情報が漏えいするなどの被害につながることがあります。しかしながら、5,456件(88%)のアプリケーションが正しくアクセス制御されていない結果となり、アクセス制御の必要性が開発者に広く認識されていないと見ることができます。

ログ出力による情報漏えい

ユーザーや他のアプリケーションが参照可能なログ情報は、機密情報を含むこともあるため、リリース版アプリでは使用してはいけないログ出力関数があります。ところが、5,300件(86%)のアプリケーションで禁止されたログ出力関数が見つかっており、アクセス制御同様に開発者にはあまり認知されていないことがわかります。

実践的な脆弱性対策

脆弱性のないアプリを作るためには、セキュリティの知識を得ることが必要となります。セキュアコーディングガイドやDVD、検査ツール(Secure Coding Checker)を使うことで業務と学習を同時にこなすことが可能です。

分析方法

一般社団法人日本スマートフォンセキュリティ協会(JSSEC)の、「Android アプリのセキュア設計・セキュアコーディングガイド」※2を判断基準とし、アプリを解析するツール、「Secure Coding Checker」※3の解析エンジンを適宜カスタマイズして使用しました。


※2 :Android アプリのセキュア設計・セキュアコーディングガイド【2013年4月1日版】
※3 :Secure Coding Checker 1.0.5【改造版】


本レポートに関するお客様からのお問い合わせ

当社は、本レポートに関するお問い合わせにあたって、お客様の個人情報を必要な限度においてお預かりいたします。
プライバシーポリシー」および「セキュリティ・ソリューションに関するお問い合わせにおける個人情報の取り扱い及び公表事項等に関するご案内」に記載の内容をよくお読みいただき、ご同意いただける場合のみ、お問い合わせフォームにお進みくださいますよう、お願いいたします。



これより先は、株式会社セールスフォース・ドットコムのページにリンクします。

商標の表記


注意事項

このページに掲載されているプレスリリースその他の情報は、発表日現在の情報であり、時間の経過または様々な後発事象によって変更される可能性がありますので、あらかじめご了承ください。