[調査レポート] コロナ禍の危機:モバイル・アプリケーション・セキュリティの現状 |シノプシス

|synopsys.com|1 コロナ禍の危機： モバイル•アプリケーション•セキュリティの現状 新型コロナウイルスの世界的流行下における人気Androidアプリのセキュリティ分析 概要 新型コロナウイルス感染症（COVID-19）の世界的流行の中、モバイル・アプリケーション・セキュリティの現状を調査するため、シノプシスサイバーセキュリティ・リサーチセンター（CyRC）は3,000本を超える人気Androidアプリケーションを分析しました。対象は、18のカテゴリでダウンロード回数と売上高の上位にランキングしているアプリケーションで、これらの多くはコロナ禍において爆発的な成長を見せています。今回の調査では、モバイル・アプリケーション・セキュリティの中でも特に重要な以下の3項目に焦点を当てました。 •脆弱性：アプリケーションのオープンソース・コンポーネントに既知の脆弱性が存在するかどうか •情報漏洩：秘密鍵、トークン、パスワードなどの機微なデータをアプリケーション・コードに埋め込んでいないか •モバイル機器のアクセス許可：アプリケーションがモバイル機器のデータや機能へのアクセスを必要以上に要求していないか 分析の結果、大半のアプリに既知の脆弱性を含むオープンソース・コンポーネントが使われていることが明らかになりました。それ以外にも、潜在的に機微なデータがアプリケーションのコードに大量に埋め込まれていること、そしてモバイル機器のアクセス許可が必要以上に要求されていることなど、セキュリティ上の問題が広く蔓延していることが判明しました。 このレポートがアプリ利用者に伝えたいのは、人気ランキング上位のモバイル・アプリでさえもセキュリティとプライバシーの問題を抱えており、無条件に信用してはならないという厳しい現実です。また、アプリ開発者に対しては、セキュアなソフトウェア開発プラクティスの導入および全体的なプライバシーとセキュリティの健康状態の改善が待ったなしであることを示しています。 3,335本の モバイル・アプリを分析 ゲーム、教育、モバイル・バンキング、健康&フィットネスなど、コロナ禍において最も人気のある18のアプリのカテゴリ 63%のアプリに既知の脆弱性が存在 •1本のアプリに平均39個の脆弱性 •44%の脆弱性が「高リスク」と判定 •94%の脆弱性は修正方法が公開済み •73%の脆弱性は発見から2年超が経過 アプリケーション・コード内に埋め込まれていた 機微なデータは数十万件 モバイル機器の アクセス許可を過剰に使用 •パスワード、トークン、キー：2,224 •電子メール・アドレス：10,863 •IPアドレス、URL：392,795 •通常のアクセス許可：33,385 •機微なアクセス許可：15,139 •サードパーティのアプリでは本来使用しないはずのアクセス許可：10,653 |2 |synopsys.com |synopsys.com 目次 コロナ禍の危機:モバイル・アプリケーション・セキュリティの現状1 このレポートの内容：モバイル・アプリケーションに特化した分析3 このレポートの手法：業界をリードするシノプシスのBlackDuckBinaryAnalysisによる分析3 調査の結果：シノプシスの見解4 オープンソースの脆弱性に関する調査結果4 既知の脆弱性4 アプリケーション・カテゴリ別の調査結果5 脆弱性に関する分析6 BDSAレコードの詳細な情報を加味した脆弱性分析7 悪用リスクが実証された脆弱性8 オープンソース脆弱性に関する調査結果の詳細9 情報漏洩に関する調査結果10 まとめ15 |3 コロナ禍の危機:モバイル・アプリケーション・セキュリティの現状 この困難な時期において、ソーシャル・ディスタンスやロックダウンなど行動の制限が課されたことにより、世界は瞬く間にオンラインへと移行しました。私たちの仕事、学習、交流のあり方は不可逆的に変化したのかもしれません。こうした状況に社会は急速に適応し、これまで物理世界でしか利用できなかったリソースが仮想世界でも利用できるようになっています。この結果、日々の活動をこれまで以上にモバイル・アプリケーションに依存する文化が生まれています。 新型コロナウイルスの世界的流行下でアプリケーションへの依存が高まる中、シノプシスサイバーセキュリティ・リサーチセンター •人気ランキング上位のモバイル•アプリケーションはそれ相応にセキュアなのか、それとも攻撃者から見て格好の標的となっているのか。 •開発者はアプリケーションがモバイル機器のどのような権限とデータにアクセスするかを決定する際に、セキュリティとプライバシーを優先させているか。 （CyRC）はアプリケーション・セキュリティの現状調査に乗り出しました。この調査では、次の重要な2点に絞り込んで分析を行いました。 モバイル・アプリケーションを利用する側にいるか、開発する側にいるか（またはその両方か）にかかわらず、自分の生活やビジネスの場をオンラインへ移行する際には、どのような相対的リスクを負うことになるのかを理解することが重要です。今回シノプシスは、ソフトウェア・コンポジション解析（SCA）ツールであるBlackDuck®BinaryAnalysisを使用して人気ランキング上位のモバイル・アプリケーションを徹底的に分析し、新しいリモート・ライフスタイルの時代にどのような潜在的リスクと影響、危険が潜んでいるのかを詳細に調査しました。 「世界中が新型コロナウイルスの 突然の感染拡大への対処に追われる中、2020年第2四半期はモバイル・アプリのダウンロード回数、使用時間、消費者の支出額のいずれにおいても過去最高を記録しました。アプリ市場分析会社AppAnnieの最新データによると、 モバイル・アプリの使用は 2020年第2四半期に 前年同期比40%の 成長を遂げています。」[1] |synopsys.com|1 |synopsys.com|2 CyRCは、GooglePlayストアの2021年第1四半期ランキングで最も人気のある無料と有料のAndroidアプリケーション3,335本を分析しました。 トップの無料 アプリ マッチング・277 モバイル・バンキング 107 90 決済 159 教育 エンタメ 129 教師向けツール101 211 トップの有料ゲーム 予算管理 112 150 健康&フィットネス 153 ドリンク 158フード& 仕事効率化 216 トップの有料アプリ 257 売上トップの ゲーム マッチング・267 アプリ 売上トップの トップの無料ゲーム 288 売上トップのアプリ 300 トップの無料アプリ 315 各カテゴリでスキャンしたアプリの数 ライフスタイル45 各カテゴリのアプリ1個当たりに含まれるオープンソース•コンポーネントの数（平均） 仕事効率化17.0 トップの無料 マッチング・アプリ15.5 トップの 有料アプリ11.8 教育17.0 売上トップの マッチング・アプリ16.9 ライフスタイル16 教師向けツール 18.2 トップの有料ゲーム 18.1 健康&フィットネス 17.7 トップの無料アプリ20.9 エンタメ20.1 フード&ドリンク 18.4 売上トップのアプリ22.8 決済21.9 モバイル・バンキング26.4 予算管理24.3 売上トップのゲーム29.9 トップの無料ゲーム27.8 GooglePlayにおけるビジネス、 健康&フィットネス、教育アプリの ダウンロード回数は、前四半期比で それぞれ115%、75%、50%増加しています。[2] このレポートの内容：モバイル・アプリケーションに特化した分析 コロナ禍におけるモバイル・アプリケーション・セキュリティの現状を調査するため、CyRCはGooglePlayストアの2021年第1四半期ランキングで最も人気のある無料と有料のアプリケーション3,335本を分析しました。これらのアプリケーションは、教育、エンタメ、ゲーム、健康&フィットネス、フード&ドリンク、仕事効率化、教師向けツールなど、コロナ禍において利用が飛躍的に伸びたカテゴリから選んでいます。 CyRCは、業界最先端のノウハウ、テクノロジー、およびリソースを活用してソフトウェア・セキュリティに関する知見とベスト・プラクティスを発信しています。今回、CyRCのチームはBlackDuckを使用してこれらの人気アプリをスキャンし、3つの潜在的セキュリティ・リスクについて分析を実施しました。 •オープンソースの脆弱性：毎日使用しているアプリケーションのオープンソース・コンポーネントに既知の脆弱性が潜んでいないか。 •潜在的な情報漏洩インスタンス：パスワード、電子メール・アドレス、またはAWSやGoogleCloudのキーなどの機微なデータが、アプリ開発者の不注意によってコンパイル済みアプリケーション内に残ったままになっていないか。 •モバイル・アクセス許可：アプリケーションが機器に対してどのようなアクセス許可を要求しているか。また、不必要なアクセス許可や、不適切に使用された場合にデータ流出を招くようなアクセス許可が存在していないか。 このレポートの手法： 業界をリードするシノプシスのBlackDuckBinaryAnalysisによる分析 調査の徹底を期すため、CyRCはBlackDuckBinaryAnalysisを使用して、各アプリケーションのAndroidパッケージに含まれるオープンソース・ソフトウェア・コンポーネントおよびその他のコンテンツを分析しました。BlackDuckBinaryAnalysisはh（ソースコードではなく）コンパイル済みのバイナリとしてアプリを解析するため、デスクトップやモバイル・アプリケーションから組み込みシステムのファームウェアまで、ほとんどのバイナリ・ソフトウェアをスキャンできます。 BlackDuckはオープンソースを特定して関連する脆弱性やライセンスの情報を提示するだけでなく、アプリケーションのセキュリティに影響しかねない情報漏洩やモバイル・アクセス許可など、機微な情報に対する潜在的リスクもピンポイントで特定します。 |synopsys.com|3 |synopsys.com|4 調査の結果：シノプシスの見解 今回、CyRCが3,335本のアプリケーションを分析したところ、アプリケーション開発者とその所属組織、そしてアプリケーションの利用者の双方にとって大きなリスクが存在することが判明しました。アプリの開発者か利用者か（またはその両方か）を問わず、開発中または使用中のアプリケーションのセキュリティに大きく影響することが明らかになっています。 オープンソースの脆弱性に関する調査結果 今回スキャンした全てのアプリケーションの98%に、オープンソース・コンポーネントが含まれていました。この数字は、シノプシスが実施した他の調査結果とも一致しています。これは、よく言われるように現在ほとんどすべてのアプリケーションはオープンソースが基盤となっているという全体的なトレンドが事実であることを裏付けています。 オープンソースが含まれていること自体は、それらが活発に管理および保守されているならば、なんらリスクにはなりません。しかし今回の調査では、スキャンしたアプリケーションの63%に、1つ以上の既知の脆弱性を含む、オープンソース・ソフトウェア・コンポーネントが見つかっており、脆弱なアプリケーション1本につき平均39個の脆弱性が存在することが明らかになっています。アプリのカテゴリによっては比較的脆弱性の少ないものもありましたが、脆弱なオープンソース・コンポーネントがまったく見つからなかったカテゴリはありませんでした。18のカテゴリすべてにおいて、アプリケ