スマホアプリの安全性に注意！攻撃者が悪用する例も…スマホ新法で変わるアプリ配信､開発者が見直したいセキュリティ対策とは【具体例あり】

3. 不適切な権限管理

ユーザーまたはアプリ自身が必要以上の権限を持っている場合、不必要な権限が不正利用され、データの改ざんや漏洩が発生する可能性がある。また、アプリの動作に影響を及ぼし、ユーザーが不便を感じることもある。実際に、録音、位置情報、メッセージ読み取りなどの危険な権限を要求するアプリが多数存在することも報告されている。

スマホアプリ開発者は、最小権限の原則を徹底し、権限の必要性を精査したうえで、必要な権限のみ付与し、その理由をユーザーに明確に説明することが重要だ。

利用者の信頼なくして、アプリの利用拡大はありえない

ほかにも、アプリが脆弱性を修正するためのセキュリティパッチを適時に適用しないことや、モバイルアプリにおける認証・認可制御の実装が適切でない場合など、さまざまなアプリの実装上の問題がある。

上記の課題に加え、OWASP Mobile Top 10 2024の他の項目や、OWASPが発行しているMASVSなどを参考に、適切な実装を行うことが推奨される。

日本スマートフォンセキュリティ協会（JSSEC）は、アプリ開発者がどのようなセキュリティ対策を行うべきかをまとめた「スマートフォンアプリケーション開発者の実施規範」を2024年3月に公開している。アプリ開発の際には、この規範も参考にすることをお勧めする。

スマホアプリを提供する事業者は、セキュリティとユーザーの信頼を最優先に考え、つねに最新のベストプラクティスを導入することで、利用者の信頼を獲得し、アプリの利用拡大につなげることを心掛けよう。

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティーの最新動向、事業継続を可能にするために必要な情報をお届けしています。

著者フォローすると、本間 輝彰さんの最新記事をメールでお知らせします。