こんにちは、株式会社ラック デジタルペンテスト部の田端です。今回は、スマホアプリに潜む脆弱性の有無を調査する「スマートフォンアプリケーション診断」の診断結果をもとに、スマホアプリに潜む脆弱性の傾向などをまとめたホワイトペーパーの一部をご紹介させていただきます。
1. はじめに
スマートフォンアプリケーション(以下、スマホアプリ)を狙ったサイバー攻撃が増加しており、その多くは、スマホアプリに潜む設定不備や欠陥といった「脆弱性」を狙ったものです。サイバー攻撃を受けてしまうと、アプリの不正利用や情報漏えいなどの被害に遭う恐れがあります。そのような被害を防ぐためにも、脆弱性を修正し、安全なスマホアプリを公開する必要があります。そのような脆弱性への対応として、ラックでは「スマートフォンアプリケーション診断」を提供しています。その診断で検出された脆弱性の統計データをご紹介します。実際の診断結果を、スマホアプリのセキュリティ対策検討の情報としてご活用ください。
※ 2023年度診断実施結果を集計しています
2. セキュリティ対策が必要なスマホアプリの割合
以下のグラフは「対策が必要なレベル」である、リスクレベル「High」および「Medium」が検出されたスマホアプリの割合です。64.6%のアプリで情報漏えいやアプリの不正利用などの実害に結び付く恐れのある脆弱性が検出されています。高い割合で対策が必要な脆弱性が見つかっており、セキュリティ対策の重要性が分かります。
●Highリスク
攻撃者の積極的なアプローチによって、直接的に情報漏えいやアプリケーションの不正利用などの実害に結び付く可能性のある問題であり、早急に対策が必要
●Mediumリスク
攻撃手法が複雑、または複数の条件を組み合わせることで、情報漏えいやアプリケーションの不正利用などの実害に結び付く可能性のある問題であり、対策が必要
3. Mediumリスク以上の問題点検出率上位5項目
「スマートフォンアプリケーション診断」で検出されたリスクが高い問題点のうち、検出率が高い上位5項目の問題点をご紹介します。
1位:内部ストレージに重要情報を保存 39.1%
2位:中間者攻撃が可能 12.7%
3位:リクエスト改ざん 11.5%
4位:ログに重要情報を出力 11.5%
5位:認証機能における問題 10.4%
1位「内部ストレージに重要情報を保存」という問題点について、問題点の概要、考えられる脅威、対策方法の例をご紹介します。
内部ストレージに重要情報を保存 39.1%
問題点の概要(脆弱性が起きる理由)
スマホアプリによって内部ストレージに保存された情報の中に、ユーザID、パスワードなどの「認証情報」や、住所、誕生日、クレジットカード情報などの「個人情報」が保存される問題です
この脆弱性があることで考えられる脅威
紛失・盗難・貸与等でデバイスが第三者の手に渡った場合に、「情報漏えい」や「システムを不正」に利用され、「なりすまし」などに悪用されるなどの危険性があります。
対策方法
重要情報はデバイス内ではなく、サーバ側に保存しましょう。
デバイス内に保存した情報は、サーバ側に保存した情報に比べ攻撃者に読み取られる手法が多く存在するため、漏えいのリスクが高くなります。やむを得ず重要情報をデバイス内に保存する必要がある場合は、適切に暗号化を行いましょう。
ホワイトペーパーでは、他4項目の問題点(脆弱性)の概要や対策方法も掲載しています。合わせて、スマホアプリを様々な脅威から守るため、安全性を高める方法もご紹介しています。ぜひご覧いただき、検出率の高いスマホアプリの問題と想定される脅威、対策方法を把握しスマホアプリ開発のセキュリティ対策にご活用ください。
「脆弱性診断結果の統計データから学ぶ!スマホアプリの安全性を高める方法」ホワイトペーパーお申し込み | セキュリティ対策のラック