1万8000個以上のスマートフォンアプリに個人情報漏えいなどの脆弱性が発覚、クラウドサービスの設定が不完全なため

モバイルセキュリティサービスを提供する企業「Zimperium」の調査により、外部のクラウドサービスを使用するiOSおよびAndroid向けアプリの内およそ1万8000個のアプリに、電話番号や住所などの個人情報が漏えいするリスクがあることが判明しました。アプリ開発者がクラウドサービスのガイドラインに従うことを怠っていることが原因とされています。

Unsecured Cloud Configurations Exposing Information in Thousands of Mobile Apps
https://blog.zimperium.com/unsecured-cloud-configurations-exposing-information-in-thousands-of-mobile-apps/

Thousands of Android and iOS Apps Leak Data From the Cloud | WIRED
https://www.wired.com/story/ios-android-leaky-apps-cloud/

アプリの使用状況などの情報の保存やアプリがサーバーにアクセスしてリアルタイムに情報を照会できる機能などは、モバイルアプリの開発において重要な設計の一つです。Zimperiumによると、かなりの数のアプリがこういった機能に必要なクラウドサービスをAmazon S3やMicrosoft Azureなどの外部サービスに依存しているとのこと。

クラウドサービスにはデータを簡単に保存してアプリからアクセスできるという利便性があるのですが、その利便性故に設定次第で誰でもデータにアクセスできてしまうというリスクがあります。クラウドサービスを提供する企業はアクセスを保護する方法について非常に詳細なガイドラインを公開してはいますが、アプリ開発者がそれに従わず、初期設定のまま、あるいは設定を誤って利用している可能性が高いとZimperiumは指摘します。

Zimperiumが130万個以上のアプリを調査した結果、独自のサーバーではなくクラウドサービスを使用しているアプリは約13万1000個であり、そのうちの約14％にあたる1万8485個のアプリで設定ミスがあり、ユーザーの個人情報やパスワード、医療情報に簡単にアクセスできる状態となっていることが確認されています。クラウドサービス経由で個人情報にアクセスできるようになっていたアプリの種類は以下のグラフの通り。ミュージックアプリやゲームアプリ、ビジネスアプリなど多岐にわたっており、中には数百万人のユーザーを抱えているものもあったとのこと。

Zimperiumは、ユーザーの個人情報のほかに、開発者のサーバーインフラストラクチャ、スクリプト、サーバーなど全体が公開されているケースを特定したとも発表しています。このケースでは悪意のある人物がSSHキーを確認することができ、アプリ開発者のサーバーにアクセスできる状態になっていたとのこと。

Zimperiumは実際に被害が発生したかどうかについて個別に確認はしておらず、アプリ開発者に対し、不正アクセスや情報漏えいを防ぐためクラウドサービスの設定を見直すよう呼びかけています。