IPA、Androidアプリの脆弱性を学習・点検する無償ツールを公開

独立行政法人 情報処理推進機構(IPA)は11日、Androidアプリの脆弱性を学習・点検する開発者向けツール「AnCoLe(アンコール)」を、IPAのウェブサイト上で無償公開した。

動作環境は、対象OSがWindows Vista / 7 / 8 / 8.1、および「Eclipse Foundationサイト配布版 Juno Packages v 4.2.0」以降または「Android Developersサイト配布版 ADT Bundle for Windows」、Java SE Development Kit 7以上、Android Development Tools 22.3以上、Android Software Development Kit(Android API 8、Android API 10 SDK)。

AnCoLeは、IPAへの届け出が多い脆弱性を中心とした7テーマを対象に、対策方法を学習・点検できるツール。ソフトウェアの開発環境であるEclipse上で動作し、Android端末の実機やエミュレータを使用する。7つのテーマは以下の通り。

・ファイルのアクセス制限不備
・コンポーネントのアクセス制限不備
・暗黙的Intentの不適切な使用
・不適切なログ出力
・WebViewの不適切な使用
・SSL通信の実装不備
・不必要な権限の取得

これらの脆弱性により、アプリが保有/出力する情報や端末内情報/通信内容の漏えい、改ざんなどの被害を受ける可能性がある。

AnCoLeでは、この7テーマごとにまず、以下の流れで学習を行う。

(1)攻撃アプリ(学習用アプリ)を使い、脆弱性のあるサンプルアプリ(同)に攻撃を試行し、被害を体験
(2)脆弱性の原因や対策方法を学習
(3)サンプルアプリのソースコードにおける、原因箇所を修正
(4)攻撃アプリを使い、修正したサンプルアプリに攻撃を試行し、対策されていることを確認

次に、以下の流れで開発中のアプリを点検する。

(1)開発中のアプリを読み込み、脆弱性や問題点の有無を点検
(2)表示される点検結果から、問題となる箇所のソースコードを把握
(3)問題がなければ終了し、問題があった場合は学習機能を使用して対策方法を学習

Androidアプリ開発初心者に配慮し、最低限必要な基礎知識として、Android OSの仕組み、Androidアプリの特徴、用語集を提供している。なお、AnCoLeの開発はタオソフトウェアが行った。