ソニーデジタルネットワークアプリケーションズは、市場に流通しているAndroidスマートフォンアプリケーション(apkファイル)から、「脆弱性のあるアプリ」の動向について分析した結果をまとめた「Androidアプリ脆弱性調査レポート 2015年12月版」を公開した。
同社は2年前に、Androidアプリのセキュリティを専門とする立場からリサーチを行い、最初の「Androidアプリ脆弱性調査レポート」を発表を開始。今回のレポートでは、2年前のデータを踏まえ、現在のAndroidアプリの脆弱性状況の分析結果と、開発者が脆弱性に対処するための「実践的な脆弱性対策」を解説している。
調査によると、脆弱性対策の取り組み状況の指標となる「アクセス制御不備」の割合が、前回調査(2013年)の88%から29%減の59%となった。同社はこの結果を「アプリの脆弱性対策が本格的に開始された状況がデータとして表れた」と評価している。
|
従来の方法(左)とSecure Coding Checkerを利用した場合(右)の脆弱性検査の違い |
一方で、暗号通信が解読・改ざんされる脆弱性リスクのあるアプリは、2年前の39%から43%に微増。脆弱性対策が一般化してきている状況のなか、暗号通信を誤って実装したことで、脆弱性を持つアプリが増加している傾向が見て取れる。
こうしたことから同社は、さらなるセキュアコーディングの普及・啓発が必要だとして、日本スマートフォンセキュリティ協会発行の「セキュアコーディングガイド」を活用するよう呼びかけたほか、これから脆弱性対策を始める開発組織や、自社使用アプリの脆弱性をチェックしたことのない企業が問題点を可視化・学習できるソリューションの利用を勧めている。
