【注意】iOSアプリの2.2%に情報流出の危険性！米セキュリティ企業が指摘

 
アメリカのセキュリティ企業Zimperiumが、機械学習を活用して50,000点のiOS用アプリを調査した結果、2.2%に当たる1,101点に、セキュリティまたはプライバシー上の問題があることが判明しました。また、iOSデバイスの約23％は最新版にアップデートされておらず、セキュリティ上の問題が放置されていました。

情報流出の危険性があるアプリは5,000万DL以上のアプリ

Zimperiumの調査によって問題が発見された、50,000点のアプリの2.2％を占める、情報流出の危険性がある1,101点は、5,000万ダウンロード以上を記録したアプリでした。
 

 
問題の中には、既知のマルウェアのほか、パスワード情報の保存されたKeychainを共有するもの、端末の識別番号（UUID）を勝手に読み取るもの、共有のUSB充電ケーブルからデータを抜き取ろうとするものなど、7つに分類されています。
 
複数の問題を持つアプリも少なくなく、中には5つの問題を持つアプリが4点あったほか、最もひどい構造のアプリの最新バージョンが85万回以上ダウンロードされていました。
 
特に企業ユーザーにとっては、脆弱性のあるアプリによって機密情報の流出のリスクがあるため、事態は深刻なものとなります。

iOSも23%が最新版にアップデートされていない

デバイスのセキュリティ状態を最善の状態にするには、最新のOSを使用するのが一番です。2017年6月末時点で、Androidの旧バージョンを使用している割合は94％に達しました。
 

 
一方、iOSは対応端末なら簡単に無料でアップデートが可能ですが、23%ものデバイスで古いバージョンのiOSが動作していました。調査時点では、最新版であるiOS10.3.2がリリースされて45日以上経過していましたが、ユーザーがアップデートしていなかったことになります。
 
最新版のOSは、数多くのセキュリティ上の問題への対策を施しており、アプリの不審な動作を抑えることにもつながります。
 
なお、本稿執筆時点のiOSの最新版は、日本時間10月4日に公開されたiOS11.0.2です、デザインが大きく変更されたiOS11に戸惑う方も多いと思いますが、導入後のトラブルの多くは解決可能なものです。

一見、不審に見えないネットワークには危険がいっぱい

ネットワーク利用上の最大の脅威の一つは、デバイスにネットワーク経由で侵入し、保存されている情報を盗み出す、マン・イン・ザ・ミドルと呼ばれる攻撃です。
 
2017年4月から6月に実施した調査の結果、全体の5％のデバイスが攻撃を受けていました。80％は攻撃者によるスキャンを検知し、被害を未然に防いでいました。
 

 
攻撃者は、施設公式のものに見せかけた名称のアクセスポイントで、被害者がネットワークに接続してくるのを待ち構えています。一見、不審に見えないネットワークも注意して、不用意にWi-FIに接続しないことで自衛しましょう。

2017年前半だけで2016年1年間の脆弱性報告件数を上回る

2016年の1年間に、脆弱性情報データベースのCVEs(common vulnerabilities and exposures)には、Android関連の脆弱性が600件、iOS関連の脆弱性が300件、報告されました。しかし、2017年前半だけで、2016年を上回る件数の脆弱性が報告されています。
 

 
これは、これらのモバイルデバイス用OSが現在も発展の途上にあることを示すと同時に、セキュリティに関する研究が進展していることの成果でもあります。

不審なアプリ、OSの更新、保護なしWi-Fiに注意！

私たちユーザーは、「不審なアプリはインストールしない」、「OSを最新版にアップデートする」、「保護されていないWi-FIには極力接続しない」ことで身を守るのが良さそうです。
 
アメリカ人は1日に平均約5時間、モバイルデバイスを操作していると言われるほど、モバイルデバイスは一般的な存在となりました。
 
モバイルデバイスは、ユーザーの労働に関するフレキシブルさを高めてくれますが、企業内の管理されたネットワークと違った、セキュリティ的に不十分な公衆Wi-Fiや、企業のIT管理部門の目が届かないところでインストールされたアプリによって、セキュリティやプライバシー上の脅威も高まっている、とZimperiumは警鐘を鳴らしています。

 
 
Source:Zimperium(PDF) via Gigazine
(hato)