Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

【特別企画】Androidアプリの脆弱性を狙った攻撃の増加に懸念 – 今求められる「セキュアコーディング」とは

2013年に急増したAndroidアプリの脆弱性

20140313js_003.jpg

利用者が日々増加しているスマートフォン。魅力といえば、さまざまなアプリを使えるところ。ユーザーは、好きなアプリをダウンロードして使えるだけでなく、自分でアプリを開発して全世界のユーザーに提供することも可能だ。優れたアイディアと技術力があれば、個人でも人気アプリを開発して世界を相手に販売し、大きなビジネスに発展させることもできる。

次々に新しいアプリが開発・提供されている現状は、ユーザーにとって魅力的なアプリを利用できる機会が増えるというメリットがあるばかりではない。未熟な開発者が脆弱なアプリを公開しているという危険性も指摘されているからだ。

20140313js_002.jpg
脆弱性報告が急増するAndroidアプリ(「Androidアプリのセキュア設計・セキュアコーディングガイド」の解説DVDより)

IPA(独立行政法人情報処理推進機構)が2013年に受理したソフトウェアの脆弱性事例は253件で、そのうち117件がAndroidアプリの脆弱性。2013年に急増し、今やソフトウェアの脆弱性の約半分がAndroidアプリの脆弱性となっているのだ。

また、ソニーデジタルネットワークアプリケーションズが、2013年に公式サイトで公開されていた人気アプリ6170件を対象に実施した調査によると、96%にあたる5902件からなんらかの脆弱性が検出されたというデータもある。悪用されると「情報漏洩」や「なりすまし」などにつながる脆弱性も9割近くに及んだ。

サイバー攻撃の多くはソフトウェアの脆弱性を突いてくることから、今後、アプリの脆弱性を標的とした攻撃が増加することが懸念されている。今、求められているのは、安全性の高いアプリ開発するための「セキュアコーディング」技術だ。

セキュアコーディングを実践するためには?

それではアプリ開発者はいかにしてセキュアコーディングを実践していけばよいのか。多くのアプリ開発者の参考となるだろう資料を、一般財団法人日本スマートフォンセキュリティ協会(JSSEC)の技術部会が無料で公開している「Androidアプリのセキュア設計・セキュアコーディングガイド」である。サンプルコードとともに開発にあたって守るべきルール、注意事項などが公開され、すでに累計20万回以上もダウンロードされている。

20140313js_001.jpg
安全なAndroidアプリ開発の基本を学ぶことができる「Androidアプリのセキュア設計・セキュアコーディングガイド」の解説DVD<基礎編>。開発者に限らず、アプリを外注する発注担当者やITシステム担当者などにも最適だ

最新版は363ページとかなりのボリュームがあり、セキュアコーディングの概念が理解できていない開発者が独学で理解するのはやや難しいといえるかもしれない。

そこで重要なポイントにフォーカスして映像で解説した「Androidアプリのセキュア設計・セキュアコーディングガイド」の解説DVD<基礎編>も発売されている。

堅牢なAndroidアプリを開発するための参考として、JSSECの資料が多くのアプリ開発エンジニアの役に立つだろう。また開発者に限らず、アプリを外注したい企業の担当者など、Androidアプリの脆弱性について重要ポイントを効率よく学びたい人に便利なツールとなっている。

(提供:日本スマートフォンセキュリティ協会 - 2014/03/17 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Android アプリセキュアコーディングガイド」の新版が公開 - 「Android 9.0」に対応
フィンテック関係者向けにセキュリティをテーマとしたセミナー - JSSEC
【特別企画】アンケートから見えたスマホネイティブ若年層の課題 - 専門家が報告
【特別企画】スマート家電のセキュリティ実情と課題、専門家が講演
【特別企画】改訂重ねる「Androidセキュアコーディングガイド」、最新版のポイントをキーマンが解説
【特別企画】企業が「IoT」を活用する際、何に注意すべきか - JSSEC後藤氏
【特別企画】脅威トレンドや対策の重要性を経産省伊東氏が解説 - 「WannaCrypt」の特異点も
JSSEC、IoT導入企業向けのセキュリティチェックシートを公開
【特別企画】IoTで実現する「データ主導社会」、成功のカギは? - 総務省谷脇氏
【特別企画】セキュアなIoT活用の重要性が問われる時代に - 安田浩氏