「モバイルアプリの9割には、攻撃を受ける脆弱性がある」――。米ヒューレット・パッカード(HP)のHPセキュリティ・リサーチでリサーチ・リードを務めるマティアス・マドゥー氏は2014年3月19日、日本HPが開催したラウンドテーブルにおいて明らかにした。
「企業でのモバイル利用が進んでいる現在、モバイルアプリのセキュリティは重要性を増す一方だ」(マドゥー氏)。そこでHPセキュリティ・リサーチでは、2013年11月にモバイルアプリの調査を実施した。対象としたのは、600社を超える企業の2000以上のモバイルアプリ。
調査の結果、全体の9割には、何らかの攻撃可能な脆弱性があることが明らかになったという。例えば、全体の86%のアプリでは、セキュリティを考慮したプログラミングが行われていなかった。また、全体の71%のアプリには、Webサイト(Webサービス)との連携に問題があった。
そのほか、データを保存する際に暗号化しないアプリは75%、ユーザー名とパスワードを暗号化せずに送信するアプリは18%だった。調査したアプリの多くが、これらの脆弱性を複数含んでおり、およそ9割のアプリには、こういった脆弱性が少なくとも一つ存在したという。
モバイルアプリに脆弱性が含まれやすい理由の一つとしてマドゥー氏は、「アプリ開発者へのプレッシャーが高まっている」ことを挙げる。ソフトウエアベンダーにとって、モバイルアプリは良い収益源になっているので、短期間で開発することを開発者に求めているという。その結果、セキュリティを考慮した設計やプログラミング、念入りなテストなどに時間をかけられなくなり、「セキュリティが損なわれている」(マドゥー氏)。
さらに、モバイルアプリの開発者は、「他の分野の開発者が受けてきたようなセキュリティのトレーニングを受けていないことが多い」(マドゥー氏)。PCやサーバーといった他の分野では、大きなインシデントが過去に何度も発生し、セキュリティの重要性が周知されている。ところがモバイルアプリの分野は始まったばかりなので、セキュリティの重要性が十分には認識されておらず、他分野の教訓が生かされていないという。
