独立行政法人 情報処理推進機構(IPA)は13日、「Androidアプリの脆弱性に関する」レポートをホームページ上で公開した。閲覧は無料。同レポートはIPAに届出の行われたAndroidアプリの脆弱性関連情報を分析したもので、事例を紹介するとともに脆弱性を作りこみやすいポイントがまとめられている。
IPAでは2011年後半からAndroidアプリの脆弱性関連情報のIPAへの届出が増加したことを踏まえ、2012年5月末までに届出のあった42件について分析を実施した。
その結果、届出の7割超が「アクセス制限の不備」によるものだった。アクセス制限の不備の脆弱性とは、制限が適切に行われていないために、非公開もしくは公開を限定すべき情報や機能に対するアクセスを第三者に許してしまう問題のこと。
この脆弱性の原因箇所を分類すると、ひとつがファイルアップロードやデータ共有などのAndroidアプリの「機能(コンポーネント)」に対するアクセス制限不備、もうひとつがAndroidアプリが生成する「ファイル」に対するアクセス制限の不備になるという。
IPAでは、いずれもAndroidの仕組みを理解し、適切な設定が行なわれていれば防ぐことのできる脆弱性とし、レポートではAndroidの仕組みについて説明したうえで、届出の多かったAndroidアプリの脆弱性の事例を5つ紹介した。また脆弱性を作りこみやすい7つのポイントが確認できる簡易チェックリストも掲載されている。
