公式サイトで配布されるアプリも安全とはいえない

 2012年10月16日から18日の3日間、米ニューヨークで開催された国際的なコンピューター科学学会であるACM会議で、ドイツのライプニッツ大学およびフィリップ大学のセキュリティ研究者が、グーグルの公式サイト「Google Play」で配布されているアプリのセキュリティ問題を指摘した。発表論文によると、Androidアプリの多くは、SSL/TLSプロトコルの実装に起因するセキュリティ問題があるとのことだ。

 会議論文は脆弱性CVE-2012-5456の参考文献として、PDF形式で公開されている

 指摘されたセキュリティ問題は、SSL/TLSプロトコルの中間者攻撃(Man in the Middle)に対する脆弱性で、再ネゴシエーションにおける脆弱性としても知られている。これは、SSL/TLSによる通信中、情報の送信者と受信者の中間に攻撃者や攻撃用サイトが割り込むことで、偽の情報など任意の文字列を挿入することである。SSL/TLSによる通信は電子証明書で通信の正当性が確認できるが、その実装によっては偽の電子証明書でも正当と見なされ、攻撃が成立する。

 論文では、まず問題の全体を知るために中間者攻撃の脆弱性を検出するツール「MalloDroid」を使ってSSL/TLSプロトコルの実装を調査した。結果、対象アプリの8%に当たる1074点に脆弱性があることが分かったという。さらに詳細を知るためにそのうち100点を選び出して個別に精査したところ、41点については、アカウント情報やクレジットカード情報漏洩の危険性があり、さらにウイルス定義ファイルを操作してウイルス検知を不正確にする危険性もあったとしている。

中間者攻撃によって偽のウイルス定義ファイルを差し込み、ウイルスを誤認させた例(該当論文より引用)

Androidの不正アプリが累計17万5000種を超えた

 トレンドマイクロは2012年10月23日、2012年第3四半期(7~9月)の「セキュリティラウンドアップ(PDF文書)」を公開した。

 モバイル端末では、Androidの不正アプリが累計17万5000種を超えた。不正アプリ数の世界1位はANDROIDOS_FAKEが2万9309点、2位はANDROIDOS_BOXERが2万5752点、3位は情報収集用のANDROID_KMINが3910点。1位と2位が群を抜いて多く、両方ともトロイの木馬タイプのウイルスである。

Androidの不正アプリが累計17万5000種を超えた。(セキュリティラウンドアップより引用)。
[画像のクリックで拡大表示]

Androidの不正アプリ数の比較。
[画像のクリックで拡大表示]

 ウイルスでもっとも多く検出されたのは、ZACCESSだった。ZACCESSは活動を隠し他の複数の不正プログラムを作成したりダウンロードさせたりするため、多重感染を起こしやすい。Webサイト閲覧でウイルスに感染させるドライブ・バイ・ダウンロード攻撃では、Blackholeの新しいバージョンが確認された。標的型攻撃では、Luckycatが注目された。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら