Webサービス事業者がモバイルアプリを制作する際に必要とするものが、データストレージやデータ管理機能などのバックエンドサービスだ。

AmazonやFacebook(Parse)、Googleがこの種のサービスを提供しているが、これらのサービスはあくまでアプリインフラを提供するものであり、セキュリティのガイドラインをアプリ開発者が順守しなければ、セキュリティは脆弱なものとなる。例えば、多くのモバイルアプリは秘密鍵をアプリに組み込んでおり、銀行口座情報、クレジットカード情報などの重要なデータの操作はアプリのベース部分とは異なる領域を使用することが推奨されている。

その一方で、マカフィーがドイツのダルムシュタット工科大学やフラウンホーファー研究機構安全情報技術研究所と共同で200万個のモバイルアプリを調査したところ、多くのアプリが脆弱な状態にあり、氏名やメールアドレス、パスワード、写真、口座情報、医療記録などを保存しているクラウドストレージへの不正アクセスが可能だったという。こうした情報は当然、なりすまし犯罪やマルウェア配布、金銭の詐取につながるおそれがある。

ただし、マルウェアが埋め込まれたモバイルアプリもセキュリティの甘い場合は調査することができる。実際、マカフィーが29万4817件のアプリを分析したところ、16件がセキュリティの脆弱なアプリで、これらは「Android/OpFake」「Android/Marry」というモバイルバンキングを狙うトロイの木馬と連携していることがわかった。

そのうちの例では、ロシアで人気のインスタントメッセージ・アプリからのメッセージを装ったメッセージにリンクを埋め込み、アプリをインストールさせる。そのアプリは、アプリアイコンを非表示にしてバックグラウンドで起動してSMSを傍受、ユーザーの情報をC&Cサーバへ送信していた。マルウェアのエージェントは、感染したスマートフォンのコマンドを管理するためにバックエンドサービスを利用しており、モバイルバンキング・アプリから送られてくるSMSを待ち受けて、改変・再利用していたという。

これらのマルウェアファミリーは、2015年6・7月の2カ月で17万件近くのSMSを傍受しており、多くが感染端末所有者のプライバシーに影響するものだった。そして当然、銀行口座に関連するクレジットカード番号や残高照会、送金履歴といった銀行の取引情報も含まれていた。この間に実行されたコマンドは2万回で、4万人が被害を受けていた。

同社では、こうしたアプリへの対策について以下の2項目を挙げている。

  • 第三者にセキュリティチェックを受けた有名なアプリを利用する

  • デバイスをルート化しない