スマホアプリの安全性に注意！攻撃者が悪用する例も…スマホ新法で変わるアプリ配信､開発者が見直したいセキュリティ対策とは【具体例あり】

アプリリリース前には、第三者機関による脆弱性診断を実施し、脆弱性が含まれていないか確認してほしい。

アプリリリース後も、セキュリティインシデントに備えて継続的な監視を行い、不具合の発生やOSのアップデートによる仕様変更に合わせて適切なアップデートを行うことが求められる。また、利用者が安全にアプリを利用できるよう、適切な情報提供も必要だ。

開発者に向けて「注意が必要」な具体的な事例を3つ紹介

スマホアプリは、誰もがアプリマーケットから入手可能であるため、攻撃者がアプリを解析し、脆弱性を見つけ悪用することが可能だ。そのため、より安全なプログラムの実装が求められる。その中でもとくに注意が必要な事例を紹介する。

1. クレデンシャル情報がプログラムに保存されている

クレデンシャル情報のプログラム内保存は、OWASPが発行しているOWASP Mobile Top 10 2024において1位に挙げられており、とくに注意が必要。実際に、多くのアプリでAWSやAzureなどの認証情報がアプリ内に保存されているという報告もある。脆弱性が報告されたアプリには、ラジオアプリやニュースアプリなど多くの人が利用するものが含まれている。

アプリのソースコード内にAPIキーやデータベースのパスワードなどのクレデンシャル情報がハードコードされていると、攻撃者にソースコードを解析され、これらの情報が入手されると、データベースや他のサーバーに不正アクセスが可能となる場合がある。したがって、認証情報はサーバー側で安全に管理し、アプリからは必要最小限の権限でアクセスさせる構成を採用し、キーは定期的にローテーションするなど適切な対応が求められる。

2. 不適切なデータ暗号化

脆弱な暗号化アルゴリズムを使用すると、通信中にデータが傍受され、個人情報や機密情報が第三者に漏洩するリスクがあり、OWASP Mobile Top 10 2024でも5位と10位に挙げられている。

過去のセキュリティ機関の調査結果では、Androidアプリ100本のうち32本があらゆる証明書とホスト名を受け付け、うち4本は機密データを暗号化せずに送信していたという報告がある。同様に、2017年にはiOSアプリがTLS設定の問題により、中間者攻撃を受けるリスクも報告されている。直近の調査でも、分析対象のモバイルアプリの92%に暗号化の問題が指摘されており、上位100本中5本のアプリには高リスクの暗号化の問題が指摘されている。

したがって、スマホアプリでの暗号化はどのアプリでも一般的に利用されているが、適切でない暗号化の使用は依然として多くのリスクを伴うため、開発者は暗号化技術を選択し実装する際に十分な注意が必要だ。