[調査レポート] コロナ禍の危機:モバイル・アプリケーション・セキュリティの現状 |シノプシス

| synopsys.com | 1コロナ禍の危機：モバイル・ アプリケーション・ セキュリティの現状新型コロナウイルスの 世界的流行下における 人気Androidアプリの セキュリティ分析 | synopsys.com | 2ゲーム、教育、モバイル・バンキング、 健康&フィットネスなど、コロナ禍において 最も人気のある18のアプリのカテゴリ• 1本のアプリに平均39個の脆弱性• 44%の脆弱性が「高リスク」と判定• 94%の脆弱性は修正方法が公開済み• 73%の脆弱性は発見から2年超が経過3,335本の モバイル・アプリを分析63%のアプリに 既知の脆弱性が存在アプリケーション・コード内に 埋め込まれていた 機微なデータは数十万件• パスワード、トークン、キー：2,224• 電子メール・アドレス：10,863• IPアドレス、URL：392,795モバイル機器の アクセス許可を過剰に使用• 通常のアクセス許可：33,385• 機微なアクセス許可：15,139• サードパーティのアプリでは本来使用しないはずの アクセス許可：10,653概要新型コロナウイルス感染症（COVID-19）の世界的流行の中、モバイル・アプリケーション・セキュリティの現状を調査するため、シノプシス サイバーセキュリティ・リサーチセンター（CyRC）は3,000本を超える人気Androidアプリケーションを分析しました。対象は、18のカテゴリでダウンロード回数と売上高の上位にランキングしているアプリケーションで、これらの多くはコロナ禍において爆発的な成長を見せています。今回の調査では、モバイル・アプリケーション・セキュリティの中でも特に重要な以下の3項目に焦点を当てました。• 脆弱性：アプリケーションのオープンソース・コンポーネントに既知の脆弱性が存在するかどうか • 情報漏洩：秘密鍵、トークン、パスワードなどの機微なデータをアプリケーション・コードに埋め込んでいないか • モバイル機器のアクセス許可：アプリケーションがモバイル機器のデータや機能へのアクセスを必要以上に要求していないか 分析の結果、大半のアプリに既知の脆弱性を含むオープンソース・コンポーネントが使われていることが明らかになりました。それ以外にも、潜在的に機微なデータがアプリケーションのコードに大量に埋め込まれていること、そしてモバイル機器のアクセス許可が必要以上に要求されていることなど、セキュリティ上の問題が広く蔓延していることが判明しました。このレポートがアプリ利用者に伝えたいのは、人気ランキング上位のモバイル・アプリでさえもセキュリティとプライバシーの問題を抱えており、無条件に信用してはならないという厳しい現実です。また、アプリ開発者に対しては、セキュアなソフトウェア開発プラクティスの導入および全体的なプライバシーとセキュリティの健康状態の改善が待ったなしであることを示しています。 | synopsys.com | 3目次コロナ禍の危機: モバイル・アプリケーション・セキュリティの現状 ...................................................1このレポートの内容：モバイル・アプリケーションに特化した分析 ....................................................3このレポートの手法：業界をリードするシノプシスのBlack Duck Binary Analysisによる分析 ....3調査の結果：シノプシスの見解 ..............................................................................................................4オープンソースの脆弱性に関する調査結果.......................................................................................................................4既知の脆弱性 ........................................................................................................................................................................4アプリケーション・カテゴリ別の調査結果 ..........................................................................................................................5脆弱性に関する分析 .............................................................................................................................................................6BDSAレコードの詳細な情報を加味した脆弱性分析 .......................................................................................................7悪用リスクが実証された脆弱性 .........................................................................................................................................8オープンソース脆弱性に関する調査結果の詳細 ...............................................................................................................9情報漏洩に関する調査結果 ...............................................................................................................................................10まとめ ......................................................................................................................................................15 | synopsys.com | 1コロナ禍の危機: モバイル・アプリケーション・ セキュリティの現状この困難な時期において、ソーシャル・ディスタンスやロックダウンなど行動の制限が課されたことにより、世界は瞬く間にオンラインへと移行しました。私たちの仕事、学習、交流のあり方は不可逆的に変化したのかもしれません。こうした状況に社会は急速に適応し、これまで物理世界でしか利用できなかったリソースが仮想世界でも利用できるようになっています。この結果、日々の活動をこれまで以上にモバイル・アプリケーションに依存する文化が生まれています。新型コロナウイルスの世界的流行下でアプリケーションへの依存が高まる中、シノプシス サイバーセキュリティ・リサーチセンター（CyRC）はアプリケーション・セキュリティの現状調査に乗り出しました。この調査では、次の重要な2点に絞り込んで分析を行いました。• 人気ランキング上位のモバイル・アプリケーションはそれ相応にセキュアなのか、それとも攻撃者から見て 格好の標的となっているのか。• 開発者はアプリケーションがモバイル機器のどのような権限とデータにアクセスするかを決定する際に、 セキュリティとプライバシーを優先させているか。モバイル・アプリケーションを利用する側にいるか、開発する側にいるか（またはその両方か）にかかわらず、自分の生活やビジネスの場をオンラインへ移行する際には、どのような相対的リスクを負うことになるのかを理解することが重要です。今回シノプシスは、ソフトウェア・コンポジション解析（SCA）ツールであるBlack Duck® Binary Analysisを使用して人気ランキング上位のモバイル・アプリケーションを徹底的に分析し、新しいリモート・ライフスタイルの時代にどのような潜在的リスクと影響、危険が潜んでいるのかを詳細に調査しました。「世界中が新型コロナウイルスの 突然の感染拡大への対処に追われる中、 2020年第2四半期はモバイル・アプリの ダウンロード回数、使用時間、消費者の 支出額のいずれにおいても過去最高を 記録しました。アプリ市場分析会社 App Annieの最新データによると、 モバイル・アプリの使用は 2020年第2四半期に 前年同期比40%の 成長を遂げています。」[1] | synopsys.com | 2CyRCは、Google Playストアの2021年第1四半期ランキングで 最も人気のある無料と有料のAndroidアプリケーション3,335本を 分析しました。ライフスタイル45売上トップのアプリトップの無料ゲームトップの無料マッチング・アプリ売上トップのマッチング・アプリ売上トップのゲームトップの有料アプリ仕事効率化フード &ドリンクモバイル・バンキング予算管理 健康 & フィットネストップの無料アプリトップの有料ゲーム教育エンタメ決済教師向けツール27790107159112101257288300216315267158153211150129売上トップのゲーム 29.9トップの無料ゲーム 27.8モバイル・バンキング 26.4予算管理 24.3売上トップのアプリ 22.8 決済 21.9トップの無料アプリ 20.9教師向けツール18.2トップの有料ゲーム18.1健康&フィットネス17.7エンタメ 20.1教育 17.0フード&ドリンク18.4仕事効率化 17.0ライフスタイル 16売上トップのマッチング・アプリ 16.9トップの有料アプリ 11.8トップの無料マッチング・アプリ 15.5 各カテゴリでスキャンしたアプリの数各カテゴリのアプリ1個当たりに含まれるオープンソース・コンポーネントの数（平均） | synopsys.com | 3このレポートの内容：モバイル・ アプリケーションに特化した分析コロナ禍におけるモバイル・アプリケーション・セキュリティの現状を調査するため、CyRCはGoogle Playストアの2021年第1四半期ランキングで最も人気のある無料と有料のアプリケーション3,335本を分析しました。これらのアプリケーションは、教育、エンタメ、ゲーム、健康&フィットネス、フード&ドリンク、仕事効率化、教師向けツールなど、コロナ禍において利用が飛躍的に伸びたカテゴリから選んでいます。CyRCは、業界最先端のノウハウ、テクノロジー、およびリソースを活用してソフトウェア・セキュリティに関する知見とベスト・プラクティスを発信しています。今回、CyRCのチームはBlack Duckを使用してこれらの人気アプリをスキャンし、3つの潜在的セキュリティ・リスクについて分析を実施しました。• オープンソースの脆弱性：毎日使用してい