Androidアプリの誤設定で多数のユーザーのデータが危険にさらされている–CPR調査
今回は「Androidアプリの誤設定で多数のユーザーのデータが危険にさらされている–CPR調査」についてご紹介します。
関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
サイバーセキュリティ企業のCheck Point Research(CPR)は米国時間5月20日、複数のAndroidアプリを分析したレポートを公開し、アプリ開発者らによるクラウド関連の誤設定によって、1億人を超えるユーザーのデータが危険にさらされていると警告した。
CPRは、広く普及している複数のモバイルアプリを調査したところ、少なくとも23本から「サードパーティーのクラウドサービスに関する(さまざまな)誤設定」が見つかったとレポートに記している。
今日のオンラインサービスやアプリではクラウドサービスが広く利用されており、こうした傾向は新型コロナウイルス感染症(COVID-19)のパンデミックで加速されたリモートワークの普及によってさらに強まっていると考えられる。クラウドサービスはデータの管理やストレージ、処理に有用だが、アクセス時や認証時の設定を1つ誤るだけで、保存されている記録が公開状態になったり、流出してしまったりする恐れもある。
特にアプリは、さまざまなプラットフォームをまたがってデータを保存、同期するリアルタイムデータベースと統合されている場合も多い。しかし調査対象となったアプリの一部では、開発者らが適切な認証メカニズムを設定していなかったという。
CPRの調査によると、タクシー手配やロゴ作成、画面録画、ファックスサービス、星占いなど、23本のアプリで、電子メールの記録や、チャットメッセージ、位置情報、ユーザーID、パスワード、画像を含むデータが適切に保護されていなかったという。
このうちの13本では、クラウドの設定がセキュアでないため、機密データが公開状態になっていた。なお、これらアプリそれぞれのダウンロード回数は1万〜1000万回に及んでいる。
CPRが調査したタクシー手配アプリの場合、アプリのデータベースに簡単な要求を送信するだけで、ドライバーと顧客の間でやりとりされたメッセージや、名前、電話番号、乗車場所および降車場所の情報を入手できたという。
画面録画アプリとファクスアプリでも、バックエンドでデータ管理機能を提供するクラウドサービスに対するセキュリティ設定が適切になされていなかった。CPRはこれらアプリケーションの構成ファイルを分析することで、保存されている録画やファクスのドキュメントにアクセスするための鍵となる情報を取得できた。
さらに、アプリ内にプッシュ通知の鍵となる情報が直接書き込まれており、悪用される恐れのあるものもあった。この情報を悪用すれば、アプリのユーザーに対してなりすまし通知を送信できるようになる。
CPRによると、セキュリティに関するこれらの不具合は、開発者が「サードパーティーのクラウドサービスを自らのアプリケーションから利用する際に求められている、設定や統合にまつわるベストプラクティス」を守っていなかったために引き起こされているという。
CPRは「リアルタイムデータベースの誤設定は目新しい話ではないものの(中略)問題のスコープは依然としてあまりにも広く、数多くのユーザーに影響を与えるものとなっている」と述べるとともに、「この種のデータが悪意あるアクターの手に落ちた場合、サービススワイプ(同じユーザー名とパスワードの組み合わせで他のサービスへの侵入を試みる行為)や詐欺、なりすまし犯罪に利用される恐れがある」と続けた。
CPRは設定ミスについて、公開前にアプリ開発者に知らせており、複数が制御を強化している。
5月に入り、研究者はQualcommのMSMデータサービスと脆弱性の発見について、アドバイザリーを公開した。理論上、Android端末のモデムに悪意のあるコードを挿入したり、改ざんしたりするために悪用される恐れがあるとされている。
国民のための情報セキュリティサイト
正しい知識と対策によって、安心して便利なインターネットを活用しましょう。このホームページでは、インターネットと情報セキュリティの知識の習得に役立ち、利用方法に応じた情報セキュリティ対策を講じるための基本となる情報をご提供します。
インターネットのセキュリティとは?- セキュリティ対策 ...
BIGLOBEセキュリティはウイルス・スパイウェア・迷惑メールなど、インターネットの様々な脅威からパソコンを守るサービスや情報をご案内いたします。
セキュリティニュース
サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。 画像:楽天モバイルより引用 通信事業者の楽天モバイルは2021年5月10日までに、同社が提供 ...
セキュリティソフト - k本的に無料ソフト・フリーソフト
セキュリティ ソフト を紹介しているページです 無料ソフト・フリーソフト TOP セキュリティソフト Pocket つぶやく シェア ツイート ブックマーク 17 ウイルス・スパイウェア などから、パソコンを守ることができる “ セキュリティ ...
セキュリティエンジニアとは?セキュリティエンジニアの仕事 ...
セキュリティエンジニアとは?セキュリティエンジニアの仕事内容と年収についてご紹介します。インターネット・アカデミーはWeb制作会社が運営する日本初のWeb専門スクールです。
IPA 独立行政法人 情報処理推進機構:制度の概要:情報処理 ...
サイバーセキュリティリスクを分析・評価し、組織の事業、サービス及び情報システムの安全を確保するセキュリティエンジニアや、技術・管理の両面から有効な対策を助言・提案して経営層を支援するセキュリティコンサルタントを目指す方に最適です。
GSX|グローバルセキュリティエキスパート株式会社|サイ …
GSXはサイバーセキュリティ教育カンパニーです。「教育」と「グローバル」という観点を各事業の軸に据え、お客様へセキュリティへの気づきを与え、セキュリティ市場を活性化する事で、日本の情報セキュリティレベル向上に貢献します。
UTM/NGFWでマルウェア・標的型攻撃対策|ウォッチガード ...
ウォッチガード・テクノロジー・ジャパンでは、UTMによる標的型攻撃対策、Webフィルタリング、アプリケーション制御などベストオブブリードのセキュリティ対策を WatchGuard XTMで提供しています。
ルーターのセキュリティは大丈夫?今チェックすべき5項目
ご自宅などで使用されているルーターのセキュリティ状態をチェックする方法と、セキュリティを確保するための方法を解説します。
最新版ダウンロード | トレンドマイクロ - Trend Micro
ネットワークセキュリティ Deep Discovery / Inspector Deep Discovery Analyzer Deep Discovery Director EdgeFire EdgeIPS EdgeIPS Pro Network VirusWall Enforcer 1500i / 3500i / 3600i OT Defense Console - Virtual Appliance ...