ソニーデジタルネットワークアプリケーションズが 「Android アプリ脆弱性調査レポート 2017年4月版」を公開

ソニーデジタルネットワークアプリケーションズ株式会社は、市場に流通しているAndroidスマートフォンアプリケーション(apkファイル※1)から、「脆弱性のあるアプリ」の動向について分析した結果をまとめた「Android アプリ脆弱性調査レポート 2017年4月版」を公開しました。

レポート表紙

スマートフォンは私たちの生活の中にすっかり浸透し、今や若者やITリテラシーの高い人々のためだけでなく、あらゆる人々にとって日々の生活に欠かせない日用品となりつつあります。それに伴い、スマートフォンアプリの脆弱性を狙い撃ちしたサイバー攻撃の可能性が懸念されます。それを受けてアプリ開発者の側でも対策が進められているものの、新たな技術が取り入れられていることにより、新たな脆弱性が作り込まれてしまうケースも出てきています。

ソニーデジタルネットワークアプリケーションズ株式会社は2013年より2年毎にAndroid アプリのセキュリティを専門とする立場からリサーチを行い、「Android アプリ脆弱性調査レポート」を発表しています。
本レポートでは、これまでのデータを踏まえ、現在のAndroid アプリの脆弱性状況の分析結果と、開発者が脆弱性に対処するための「実践的な脆弱性対策」を解説しています。

※1：2016年から2017年にかけて公開中のAndroidアプリから人気が高いものを各カテゴリ別にピックアップし、約1万5千件を対象として抽出。


■レポートについて：
発行日：2017年4月1日
レポートは下記ページ［ダウンロード］ボタンよりお申し込みください。
http://www.sonydna.com/sdna/solution/download.html


■概要
○セキュリティ対策の傾向
前回調査(2013、2015)との比較により、アプリの脆弱性対策は全体的には年々状況が改善している様子がうかがえました。
脆弱性対策の取り組み状況の指標となる“アクセス制御不備”の割合をみると、前回までの調査では88％から59％へと減少傾向にあったものの、今回調査では68％とわずかに増加傾向に転じています。全体的には改善傾向にあるももの、依然として注意を払う必要があることがみてとれます。

○利用者情報を使用するアプリ
今回から新たに、「利用者情報を使用するアプリ」に関する調査を実施しました。その結果、位置情報をはじめとする利用者情報を扱うアプリの割合は約52.2％にものぼり、またその数は増加傾向にあることが分かりました。このことからも、Android アプリのセキュリティに配慮する必要性が高まっている実情がうかがえます。

○マルチプラットフォーム開発ツールに起因する脆弱性
前回調査(2015年)と今回調査(2017年)の間に、Android アプリ開発を取り巻く環境は大きく変わり、その最大のトピックは、異なるOS 向けのアプリを単一のソースコードから生成できる「マルチプラットフォーム開発ツール」の利用が広まってきたことです。今回の調査対象となったAndroid アプリの中にも、多くの技術者に支持され、劇的な普及を遂げた開発ツール「Cordova」を使って開発されたものが一定数含まれていました。
古いバージョンのCordovaを使って開発したAndroidアプリケーションには、脆弱性が作り込まれてしまうことが知られており、調査では全体の約12％のアプリにおいてこの脆弱性が作り込まれていることがわかりました。

○実践的な脆弱性対策
リスク対策は脆弱性を可視化し、学ぶことから始まります。
これから脆弱性対策を始める開発組織、自社使用アプリの脆弱性をチェックしたことのなかった企業へ問題点の可視化、ひいては学習を行えるソリューションとして一般社団法人日本スマートフォンセキュリティ協会発行のセキュアコーディングガイドや検査ツール(Secure Coding Checker)をご紹介しています。

「Secure Coding Checker」詳細URL
http://www.sonydna.com/sdna/solution/scc.html