Check Point Software Technologiesは5月20日(米国時間)、「Misconfiguration of third party cloud services exposed data of over 100 million users - Check Point Software」において、Androidアプリ開発者のクラウドサービスに関する設定ミスなどによって、1億人以上の個人情報が流出するおそれがあると指摘した。電子メール、チャットメッセージ、位置情報、パスワード、写真などのデータが漏洩するリスクがあるとされており、犯罪者によって取得された場合は詐欺やサービス不正利用などに悪用される可能性がある。
現在、モバイルアプリケーション開発においてクラウドベースのソリューションを利用することが新たな標準になりつつある。クラウドベースのストレージ、クラウドベースのリアルタイムデータベース、クラウドベースの通知管理、クラウドベースの分析サービスなどだ。クリックするだけでこうしたアプリケーションを統合することが可能で、必要となる機能を迅速に開発することができる。
しかし、開発者らはこうしたサービスのセキュリティ面や設定に関して見落としがちで、ベストプラクティスに従わずにサービスの設定や統合を行い、何百万人もの個人情報が流出するという事態が発生しているという。しかも、個人情報の流出のみならず、開発の内部リソース(更新メカニズムへのアクセスやストレージへのアクセスなど)も危険にさらされているとのことだ。
Check Point Software Technologiesは調査結果から、次のような発見があったと説明している。
- 13のAndroidアプリでリアルタイムデータベースから機密データが流出しているのを発見した
- 多数のAndroidアプリにプッシュ通知とクラウドストレージの鍵が埋め込まれていることを発見した。
クラウドベースサービスを利用したアプリ開発は今後も続くものと見られ、設定ミスや統合ミスなどによってデータ漏洩のインシデントが発生するリスクがあると見られる。モバイルアプリのセキュリティ情報にアンテナを張っておくとともに、脆弱性の発見が報道された場合には迅速に確認と対応などを行っていくことが望まれる。