iOSアプリ50個のうち1個の割合でデータを流出させる問題があることが報告される


AIを用いたモバイル端末向けセキュリティーソリューションを提供しているZimperium(ジンペリウム)が発表したレポートには、iOS向けに提供されているビジネス向けアプリの50個に1個は取り扱っているデータを流出させてしまう危険性を含んでいることが明らかにされています。

Zimperium_Mobile_Threat_Report_Q2_2017
(PDF)http://go.zimperium.com/threat_report_q2_2017

Threat Report Says 1 in 50 iOS Apps Could Leak Data | SecurityWeek.Com
http://www.securityweek.com/threat-report-says-1-50-ios-apps-could-leak-data

ジンペリウムが提供している「zIPS」(Zimperium Intrusion Prevention System)は、AIを用いることで端末内のアプリの異常な動きを察知するというもの。日常的な動作をAIにあらかじめ学習させておくことで、通常ではない動きを見せるアプリが現れた時にその脅威を通知するという仕組みを持ちます。

ジンペリウムが検知したモバイル端末におけるセキュリティリスクを分析したところ、その内容はセキュリティパッチのあて忘れなどの「デバイスの脅威」、電話通信網を通じて送り込まれる「ネットワークの脅威」、そしてマルウェアやスパイウェア、アプリからの情報リークなどの「アプリの脅威」の3つに分類されることが明らかにされています。


一般的に、Androidよりもセキュリティ性が高いとされることが多いiOSですが、両プラットフォームともにセキュリティ上の問題は急激な増加傾向にあるとのこと。個別製品に含まれる脆弱性に割り振られる識別子CVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)の数は、2014年には200件に満たないレベルだったのですが、2016年にはおよそ600件へと急増。さらに、2017年10月の時点ではすでに2016年全体の登録数よりも多いCVEが登録されています。

これは、企業の現場でスマートフォンが多く使われるようになっている状況と無関係ではないとのこと。レポートには「サイバー犯罪は最も攻めやすいところから攻め入るという傾向があります。セキュアなネットワークから離れて公共Wi-Fiなどに接続されることも多いスマートフォン、そして社内の管理者によって管理されることも少ないモバイルアプリ上で扱われることの多い企業の営業に関するデータは、最も脆弱性の高いデータの一つであると言えます」と、セキュリティレベルの低い環境で企業データが扱われることの危険性が指摘されています。また、アメリカの消費者は1日のうち5時間にわたってモバイル端末を操作しているという実態も明らかにされています。

また、ソフトウェアが最新の状態にアップデートされていない端末もセキュリティリスクを高める要因の一つとなるとのこと。世界中で使われているAndroid端末のうち、じつに94%が最新のパッチがあてられていない状態になっているほか、iOS端末でも23%が最新ではない、セキュアではない状態になっていることが明らかにされています。iOSはAndroidに比べてOSのアップデートが簡単に行えるという特徴がありながらも、5人に1人のユーザーは最新OSがリリースされても45日以内にアップデートせず古いまま使っていることもわかっているとのこと。使い慣れた環境を変えたくないため、または単純に面倒だから古いOSを使っているユーザーも少なくはないはずですが、古いバージョンで見つかった脆弱性が新しいバージョンで対策されていることも多いため、自分や企業の安全を守るためにはできるだけ早い対応を行うことも必要であるというわけです。


一般的に「iOSのほうが安全性が高い」と言われることも多いわけですが、ジンペリウムは「そう思うべきではない」と忠告しています。ジンペリウムが機械学習技術を使って企業向けに使われているiOS端末とアプリ5万件をスキャンしたところ、マルウェアが発見された端末は全体の1%だったのに対し、「5台に1台」にあたる20%の端末でパスワード情報や端末の機器固有識別子(UDID)を取得するアプリがインストールされていることを発見したとのこと。また、3%のアプリは脆弱性の高い「MD2」などの古い暗号アルゴリズムを使い続けているなど、問題の大きい状態になっていることも明らかにされています。

ジンペリウムはiOSアプリの脅威について「マルウェア」「keychainの共有」「MD2暗号の利用」「(使用が許されていない)プライベートフレームワークを使っている」「URLやUDIDなどプライベートな情報を取得している」「USB充電時にプライベートな情報を読み取れる機能」の7つを発見したとのこと。また、分析した全てのアプリの2.2%が、少なくともこれらの脅威を1つ以上含んでいることを明らかにしており、「50個のアプリのうち1つはデータを第三者に漏洩してしまう可能性があるという状況は、企業にとって明確な懸念材料と言えます」と指摘しています。

・関連記事
国家の中央銀行にまで浸透していた犯罪ネットワークの実態とは - GIGAZINE

政府に国民監視用スパイウェアを販売していた会社に反撃のハッキング、400GBの内部情報がネット上に流出 - GIGAZINE

Google Playの人気アプリの80%には偽アプリが存在していることが判明 - GIGAZINE

iOSとOS XでiCloud・メール・ブラウザ保存のパスワードが盗まれる脆弱性が発覚、Appleは半年以上も黙殺 - GIGAZINE

「1Password」や「LastPass」など9つの人気パスワードマネージャーに情報漏えいのリスクがあると報じられる - GIGAZINE

314

in モバイル,  ソフトウェア,  セキュリティ, Posted by logx_tm