Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

【特別企画】Androidアプリの脆弱性を狙った攻撃の増加に懸念 – 今求められる「セキュアコーディング」とは

2013年に急増したAndroidアプリの脆弱性

20140313js_003.jpg

利用者が日々増加しているスマートフォン。魅力といえば、さまざまなアプリを使えるところ。ユーザーは、好きなアプリをダウンロードして使えるだけでなく、自分でアプリを開発して全世界のユーザーに提供することも可能だ。優れたアイディアと技術力があれば、個人でも人気アプリを開発して世界を相手に販売し、大きなビジネスに発展させることもできる。

次々に新しいアプリが開発・提供されている現状は、ユーザーにとって魅力的なアプリを利用できる機会が増えるというメリットがあるばかりではない。未熟な開発者が脆弱なアプリを公開しているという危険性も指摘されているからだ。

20140313js_002.jpg
脆弱性報告が急増するAndroidアプリ(「Androidアプリのセキュア設計・セキュアコーディングガイド」の解説DVDより)

IPA(独立行政法人情報処理推進機構)が2013年に受理したソフトウェアの脆弱性事例は253件で、そのうち117件がAndroidアプリの脆弱性。2013年に急増し、今やソフトウェアの脆弱性の約半分がAndroidアプリの脆弱性となっているのだ。

また、ソニーデジタルネットワークアプリケーションズが、2013年に公式サイトで公開されていた人気アプリ6170件を対象に実施した調査によると、96%にあたる5902件からなんらかの脆弱性が検出されたというデータもある。悪用されると「情報漏洩」や「なりすまし」などにつながる脆弱性も9割近くに及んだ。

サイバー攻撃の多くはソフトウェアの脆弱性を突いてくることから、今後、アプリの脆弱性を標的とした攻撃が増加することが懸念されている。今、求められているのは、安全性の高いアプリ開発するための「セキュアコーディング」技術だ。

セキュアコーディングを実践するためには?

それではアプリ開発者はいかにしてセキュアコーディングを実践していけばよいのか。多くのアプリ開発者の参考となるだろう資料を、一般財団法人日本スマートフォンセキュリティ協会(JSSEC)の技術部会が無料で公開している「Androidアプリのセキュア設計・セキュアコーディングガイド」である。サンプルコードとともに開発にあたって守るべきルール、注意事項などが公開され、すでに累計20万回以上もダウンロードされている。

20140313js_001.jpg
安全なAndroidアプリ開発の基本を学ぶことができる「Androidアプリのセキュア設計・セキュアコーディングガイド」の解説DVD<基礎編>。開発者に限らず、アプリを外注する発注担当者やITシステム担当者などにも最適だ

最新版は363ページとかなりのボリュームがあり、セキュアコーディングの概念が理解できていない開発者が独学で理解するのはやや難しいといえるかもしれない。

そこで重要なポイントにフォーカスして映像で解説した「Androidアプリのセキュア設計・セキュアコーディングガイド」の解説DVD<基礎編>も発売されている。

堅牢なAndroidアプリを開発するための参考として、JSSECの資料が多くのアプリ開発エンジニアの役に立つだろう。また開発者に限らず、アプリを外注したい企業の担当者など、Androidアプリの脆弱性について重要ポイントを効率よく学びたい人に便利なツールとなっている。

(提供:日本スマートフォンセキュリティ協会 - 2014/03/17 ) このエントリーをはてなブックマークに追加

PR

関連記事

JSSEC、IoT利用動向の調査結果を発表 - 「IoTチェックシート」改訂版も
【追記あり】JSSEC、「セキュリティフォーラム2020」を3月に開催
JSSECら、新型コロナ対応で3月開催イベントを自粛
Androidセキュアコーディングガイドに改訂版 - JSSEC
Androidアプリの脆弱性診断、ソニーDNAがラックに譲渡
「Android 10」に対応したセキュアコーディングガイド新版
「Android セキュアコーディングガイド」に中国語版 - JSSEC
「IoTセキュリティチェックシート」を改定、非常時の対応などを追加
JSSECら、3月にIoTセキュリティテーマのフォーラムを開催
「Android アプリセキュアコーディングガイド」の新版が公開 - 「Android 9.0」に対応