Sony DNA Vulnerability research report in April 2017

ソニーデジタルネットワークアプリケーションズ、2016年から2017年にかけて約1万5000の Android アプリの脆弱性を独自調査した結果をまとめた無料コンテンツ「Android アプリ脆弱性調査レポート2017年4月版」が公開。

■ レポートサンプル

■ Android アプリ脆弱性調査レポート
ソニーデジタルネットワークアプリケーションズ株式会社は2013年より2年毎に Android アプリのセキュリティを専門とする立場からリサーチを行い、「Android アプリ脆弱性調査レポート」を発表しています。本レポートでは、これまでのデータを踏まえ、現在のAndroid アプリの脆弱性状況の分析結果と、開発者が脆弱性に対処するための「実践的な脆弱性対策」を解説しています。

■ セキュリティ対策の傾向
前回調査(2013、2015)との比較により、アプリの脆弱性対策は全体的には年々状況が改善している様子がうかがえました。脆弱性対策の取り組み状況の指標となる“アクセス制御不備”の割合をみると、前回までの調査では88％から59％へと減少傾向にあったものの、今回調査では68％とわずかに増加傾向に転じています。全体的には改善傾向にあるももの、依然として注意を払う必要があることがみてとれます。

■ 利用者情報を使用するアプリ
今回から新たに、「利用者情報を使用するアプリ」に関する調査を実施しました。その結果、位置情報をはじめとする利用者情報を扱うアプリの割合は約52.2％にものぼり、またその数は増加傾向にあることが分かりました。このことからも、Android アプリのセキュリティに配慮する必要性が高まっている実情がうかがえます。

■ マルチプラットフォーム開発ツールに起因する脆弱性
前回調査(2015年)と今回調査(2017年)の間に、Android アプリ開発を取り巻く環境は大きく変わり、その最大のトピックは、異なるOS 向けのアプリを単一のソースコードから生成できる「マルチプラットフォーム開発ツール」の利用が広まってきたことです。今回の調査対象となった Android アプリの中にも、多くの技術者に支持され、劇的な普及を遂げた開発ツール「Cordova」を使って開発されたものが一定数含まれていました。古いバージョンの Cordova を使って開発した Android アプリケーションには、脆弱性が作り込まれてしまうことが知られており、調査では全体の約12％のアプリにおいてこの脆弱性が作り込まれていることがわかりました。

■ 実践的な脆弱性対策
リスク対策は脆弱性を可視化し、学ぶことから始まります。これから脆弱性対策を始める開発組織、自社使用アプリの脆弱性をチェックしたことのなかった企業へ問題点の可視化、ひいては学習を行えるソリューションとして一般社団法人日本スマートフォンセキュリティ協会発行のセキュアコーディングガイドや検査ツール(Secure Coding Checker)をご紹介しています。

Androidアプリ脆弱性調査レポート – ソニー DNA
http://www.sonydna.com/sdna/solution/download.html