独立行政法人の情報処理推進機構 (IPA) はアメリカ・グーグルの基本ソフト(OS) 「アンドロイド」 向けのアプリ(応用ソフト)のセキュリティーを高めるツールを無償で公開する。 アプリのセキュリティー上の欠陥を指摘し、安全なアプリ開発手法を学べる。 アプリの脆弱性は現状では大きな問題として注目されておらず、開発者の間でも認知度が低い。 早期に状況を改善し、情報漏えいなどの被害を未然に防ぐ。




 検査・学習ツールの 「アンコール」 を公開。 無償で検査と学習の両方の機能を備えるのが特徴。 アプリの設計図に当たるソースコードを解析し、脆弱性を含む部分を指摘する。 アプリ内部からの情報漏えいや端末内部のデータの抜き取り、通信内容改ざんと言った被害につながる7つの脆弱性をあぶりだす。 




 ただし修正方法自体は指摘しない。 サンプルアプリとそれを攻撃するアプリを使って、脆弱性の無いソースコードの開発は身につけさせる目的で、開発者は身につけた知識でアプリを修正して再検査する。




 IPAはこの流れを繰り返すことを習慣づけて、セキュリティー上の不具合のないアプリ開発手法を普及させたい考え。 




 アンドロイドなど搭載したスマートフォンから情報流失は現状では、最初から不正を働く目的で作ったアプリを、「バッテリーの持ちがよくなる」 など別の機能を装って利用者に導入させる手法が一般的。 通常のアプリの脆弱性はこれまで大きな問題になっていない。




 「アプリの脆弱性を悪用して情報を盗むより、利用者をだますアプリを作って直接スマートフォンから情報を盗む方が簡単」 (IPA) だからだ。




 ただソフト開発のソニーデジタルネットワークアプリケーションズの調べでは、人気のアンドロイドアプリ6170個の96%に脆弱性が含まれていたという。 IPAは 「いずれアプリの脆弱性が狙われる」 と見ている。




 セキュリティー対策ソフトが普及したり、配信ソフトの対策が進んだりすることで、不正アプリが流通すにくくなると見ているためだ。 「現状のパソコンでは脆弱性を狙った攻撃が大半。 スマートフォンもその道をたどる」 (IPA)と見ている。




 これまで攻撃者の後手に回ってきた情報セキュリティー対策。 だがIPAのツールが普及すれば、次のITインフラと言えるスマートフォンでは様相が変わるかもしれない。(日経流津新聞)







  

    


ツイートこの記事をつぶやく