Android端末用アプリケーションのビジネス利用が加速し、セキュリティ対策への意識・取り組みは高まっているものの、暗号化通信といったテクノロジーによっては使用法に誤りがあるなどでリスクが逆に高まっている。今後のBYOD(Bring Your Own Device:私物端末の業務利用)の普及過程では、企業情報が漏えいする可能性もある−−。こんな結果が、Androidアプリケーションのセキュリティ診断などを提供するソニーデジタルネットワークアプリケーションズ(ソニーDNA)の調査から浮かんできた。ソニーDNAが2015年12月2日に発表した。
脆弱性への取り組みは、ダウンロード数によって変わることも分かった。ダウンロード数が多い、すなわち人気のあるアプリケーションほど、脆弱性のリスクを抱えるアプリケーションの割合が増えるものの、ダウンロード数が1億件を超えると逆に、その割合や減っていく(図3)。
図3:ダウンロード数別に見たアプリケーションの脆弱性リスクの状況拡大画像表示
ダウンロード数が多い人気アプリケーションは一般に高機能で複雑なため、脆弱性リスクが高まっても不思議はない。だが、より上位のアプリケーションになると、十分な収益力があり、脆弱性対策にも十分に投資できるし、高い収益力すなわち利用者の安心感を維持するためには、脆弱性対策に積極的に投資するモチベーションが働いているためと、ソニーDNAは推測する。
しかし、ビジネス利用や決済などの脆弱性対策として有力とされる暗号化通信においては、脆弱性を持つアプリケーションは増加傾向にあった。暗号通信を使用するアプリケーションの割合が前回の72%から88%に増えている一方で、暗号通信が解読・改ざんされる脆弱性リスクのあるアプリケーションは39%から43%へと4ポイント悪化している(図4)。暗号通信の利用は一般的になっているものの、その実装方法が誤っていることになる。
図4:暗号通信が広がる一方で、その実装方法には課題が残る拡大画像表示
BYODが広がれば脆弱性は全社にまたがる課題に
こうした調査結果を受けてソニーDNAは、今後のBYOD(Bring Your Own Device:私物端末の業務利用)がさらに広がるであろう中では、企業の情報漏えいの可能性も高まるため、業務用アプリケーションにおける脆弱性対策の重要性はますます高まるとみる。開発組織が対応するだけでは不十分で、業務アプリケーションの発注者や、BYODをマネジメントするIT部門など、Androidアプリケーションを業務利用する全員が留意する必要があると警鐘を鳴らしている。
今回調査したAndroidアプリケーションの数は1万1686件。2015年8月18日から9月1日時点に公開されているAndroidアプリケーションから、各カテゴリの上位に属しダウンロード数が1000件以上のものが対象だ。複数のバージョンがある場合は最新版を選んでいる。日本スマートフォンセキュリティ協会(JSSEC)の『Android アプリのセキュア設計・セキュアコーディングガイド』」を判断基準とし、ソニーDNAのAndroidアプリ脆弱性解析ツール「Secure Coding Checker 1.8.1」で解析した。
本調査レポートは、ソニーDNAのサイトで公開されている。解析ツールSecure Coding Checkerは無料お試し版が利用できる。
