Androidアプリの誤設定で多数のユーザーのデータが危険にさらされている–CPR調査

今回は「Androidアプリの誤設定で多数のユーザーのデータが危険にさらされている–CPR調査」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 サイバーセキュリティ企業のCheck Point Research(CPR)は米国時間5月20日、複数のAndroidアプリを分析したレポートを公開し、アプリ開発者らによるクラウド関連の誤設定によって、1億人を超えるユーザーのデータが危険にさらされていると警告した。

 CPRは、広く普及している複数のモバイルアプリを調査したところ、少なくとも23本から「サードパーティーのクラウドサービスに関する(さまざまな)誤設定」が見つかったとレポートに記している。

 今日のオンラインサービスやアプリではクラウドサービスが広く利用されており、こうした傾向は新型コロナウイルス感染症(COVID-19)のパンデミックで加速されたリモートワークの普及によってさらに強まっていると考えられる。クラウドサービスはデータの管理やストレージ、処理に有用だが、アクセス時や認証時の設定を1つ誤るだけで、保存されている記録が公開状態になったり、流出してしまったりする恐れもある。

 特にアプリは、さまざまなプラットフォームをまたがってデータを保存、同期するリアルタイムデータベースと統合されている場合も多い。しかし調査対象となったアプリの一部では、開発者らが適切な認証メカニズムを設定していなかったという。

 CPRの調査によると、タクシー手配やロゴ作成、画面録画、ファックスサービス、星占いなど、23本のアプリで、電子メールの記録や、チャットメッセージ、位置情報、ユーザーID、パスワード、画像を含むデータが適切に保護されていなかったという。

 このうちの13本では、クラウドの設定がセキュアでないため、機密データが公開状態になっていた。なお、これらアプリそれぞれのダウンロード回数は1万〜1000万回に及んでいる。

 CPRが調査したタクシー手配アプリの場合、アプリのデータベースに簡単な要求を送信するだけで、ドライバーと顧客の間でやりとりされたメッセージや、名前、電話番号、乗車場所および降車場所の情報を入手できたという。

 画面録画アプリとファクスアプリでも、バックエンドでデータ管理機能を提供するクラウドサービスに対するセキュリティ設定が適切になされていなかった。CPRはこれらアプリケーションの構成ファイルを分析することで、保存されている録画やファクスのドキュメントにアクセスするための鍵となる情報を取得できた。

 さらに、アプリ内にプッシュ通知の鍵となる情報が直接書き込まれており、悪用される恐れのあるものもあった。この情報を悪用すれば、アプリのユーザーに対してなりすまし通知を送信できるようになる。

 CPRによると、セキュリティに関するこれらの不具合は、開発者が「サードパーティーのクラウドサービスを自らのアプリケーションから利用する際に求められている、設定や統合にまつわるベストプラクティス」を守っていなかったために引き起こされているという。

 CPRは「リアルタイムデータベースの誤設定は目新しい話ではないものの(中略)問題のスコープは依然としてあまりにも広く、数多くのユーザーに影響を与えるものとなっている」と述べるとともに、「この種のデータが悪意あるアクターの手に落ちた場合、サービススワイプ(同じユーザー名とパスワードの組み合わせで他のサービスへの侵入を試みる行為)や詐欺、なりすまし犯罪に利用される恐れがある」と続けた。

 CPRは設定ミスについて、公開前にアプリ開発者に知らせており、複数が制御を強化している。

 5月に入り、研究者はQualcommのMSMデータサービスと脆弱性の発見について、アドバイザリーを公開した。理論上、Android端末のモデムに悪意のあるコードを挿入したり、改ざんしたりするために悪用される恐れがあるとされている。

国民のための情報セキュリティサイト

正しい知識と対策によって、安心して便利なインターネットを活用しましょう。このホームページでは、インターネットと情報セキュリティの知識の習得に役立ち、利用方法に応じた情報セキュリティ対策を講じるための基本となる情報をご提供します。

インターネットのセキュリティとは?- セキュリティ対策 ...

BIGLOBEセキュリティはウイルス・スパイウェア・迷惑メールなど、インターネットの様々な脅威からパソコンを守るサービスや情報をご案内いたします。

セキュリティニュース

サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。 画像:楽天モバイルより引用 通信事業者の楽天モバイルは2021年5月10日までに、同社が提供 ...

セキュリティソフト - k本的に無料ソフト・フリーソフト

セキュリティ ソフト を紹介しているページです 無料ソフト・フリーソフト TOP セキュリティソフト Pocket つぶやく シェア ツイート ブックマーク 17 ウイルス・スパイウェア などから、パソコンを守ることができる “ セキュリティ ...

セキュリティエンジニアとは?セキュリティエンジニアの仕事 ...

セキュリティエンジニアとは?セキュリティエンジニアの仕事内容と年収についてご紹介します。インターネット・アカデミーはWeb制作会社が運営する日本初のWeb専門スクールです。

IPA 独立行政法人 情報処理推進機構:制度の概要:情報処理 ...

サイバーセキュリティリスクを分析・評価し、組織の事業、サービス及び情報システムの安全を確保するセキュリティエンジニアや、技術・管理の両面から有効な対策を助言・提案して経営層を支援するセキュリティコンサルタントを目指す方に最適です。

GSX|グローバルセキュリティエキスパート株式会社|サイ …

GSXはサイバーセキュリティ教育カンパニーです。「教育」と「グローバル」という観点を各事業の軸に据え、お客様へセキュリティへの気づきを与え、セキュリティ市場を活性化する事で、日本の情報セキュリティレベル向上に貢献します。

UTM/NGFWでマルウェア・標的型攻撃対策|ウォッチガード ...

ウォッチガード・テクノロジー・ジャパンでは、UTMによる標的型攻撃対策、Webフィルタリング、アプリケーション制御などベストオブブリードのセキュリティ対策を WatchGuard XTMで提供しています。

ルーターのセキュリティは大丈夫?今チェックすべき5項目

ご自宅などで使用されているルーターのセキュリティ状態をチェックする方法と、セキュリティを確保するための方法を解説します。

最新版ダウンロード | トレンドマイクロ - Trend Micro

ネットワークセキュリティ Deep Discovery / Inspector Deep Discovery Analyzer Deep Discovery Director EdgeFire EdgeIPS EdgeIPS Pro Network VirusWall Enforcer 1500i / 3500i / 3600i OT Defense Console - Virtual Appliance ...

COMMENTS


Recommended

TITLE
CATEGORY
DATE
マイクロソフト、「PrintNightmare」対策で「ポイントアンドプリント」デフォルトの動作変更
IT関連
2021-08-13 14:51
完全にデザインし直されたM1 iMacは家の中にどう溶け込むか
くわしく
2021-04-27 01:44
キヤノンITS、リース業界共通データベースを構築
IT関連
2025-01-08 12:14
Disney、ホンモノのように飛び出すライトセーバーの動画を披露
ネットトピック
2021-05-06 16:12
福岡市教職員組合、組合活動向け情報集約サービス導入–執行部と組合委員の連携に寄与
IT関連
2024-05-16 11:55
メタバースで変わる働き方–共同作業の効率化や帰属意識の向上に期待
IT関連
2022-11-01 03:02
木材の「ほぞ組み継手」を自動設計 東大「Tsugite」開発 :Innovative Tech
イラスト・デザイン
2021-04-09 02:33
バイデン氏、競争促す大統領令に署名–巨大IT企業など監視強化も
IT関連
2021-07-12 02:51
大王製紙、パッケージのデザイン開発にAI活用–デザイン評価を最短10分で完了
IT関連
2022-07-28 20:34
LayerX、「バクラク請求書発行」に見積書、納品書、領収書を簡単に作成できる機能を追加
IT関連
2023-09-26 00:53
生成型AIは業務の生産性向上に貢献する–全米経済研究所の調査
IT関連
2023-04-26 02:08
LenovoのITインフラ事業はDellとHPEを追撃できるか
IT関連
2022-09-02 01:12
ボディワークHD、請求書管理サービスで年3000時間の業務削減
IT関連
2023-12-07 02:51
緊急事態延長–テレワークによる労務管理上の課題解消を急げ
IT関連
2021-02-04 09:20