17,000本以上の企業向けモバイルアプリを対象とした新たな分析により、数百万人のユーザーと企業を危険にさらしかねない重大なセキュリティ欠陥が明らかになりました。
Zimperiumの新レポート Your Apps are Leaking: The Hidden Data Risks on your Phoneによると、これらの脆弱性には、設定不備のクラウドストレージ、ハードコードされた認証情報、時代遅れの暗号運用が含まれます。
同レポートは、モバイルアプリ、特に業務環境で使用されるものが、憂慮すべき速度で機密情報を漏えいさせていることを示しています。
とりわけ研究者らは、公式アプリストアにある17,333本の業務用モバイルアプリ(Android 6037本、iOS 11,626本)を分析し、AndroidとiOSの両エコシステムで深刻なセキュリティ問題を発見しました。
最も懸念される発見の一部は次のとおりです。
- 83本のAndroidアプリで、保護されていない、または設定不備のクラウドストレージの使用が確認された
- 10本のAndroidアプリに、Amazon Web Services(AWS)への露出した認証情報が含まれていた
- 分析対象アプリ全体の92%が、弱い、または欠陥のある暗号手法を使用していた
- 上位100アプリのうち5本に、ハードコードされた鍵や時代遅れのアルゴリズムなど、重大度の高い暗号上の欠陥があった
これらの脆弱性は、転送中および保存中のデータを露出させ、従来型のランサムウェア攻撃がなくても、企業を不正アクセス、データ改ざん、または恐喝にさらす可能性があります。
企業セキュリティの脆弱性についてさらに読む:レガシーシステムから5Gへ:2025年の企業セキュリティ脅威
「クラウドストレージの設定不備や認証情報の露出は、玄関のドアを開け放ったまま『家は安全だ』と言っているのと同じです」と、Black DuckのシニアセキュリティエンジニアであるBoris Cipot氏は述べました。
「これは、ずさんなセキュリティ設定を突くだけでデータを盗めるという、攻撃者への公然たる招待状です。」
見落としの代償
企業環境におけるモバイル端末への依存の高まり、とりわけ私物端末の業務利用(BYOD)環境では、サイバー犯罪者にとっての攻撃対象領域が大幅に拡大しています。
2024年だけでも、データ侵害は17億人以上に影響を及ぼし、推定2,800億ドルの金銭的損失をもたらしました。
クラウド統合はスケーラビリティのために不可欠である一方、クラウドAPIやSDKが安全に実装されていない場合、リスクを招きます。
Google Playストアの上位100にランクインする一部のアプリでは、ストレージディレクトリが一般公開されており、悪意ある攻撃者による継続的なスキャンに対して脆弱な状態でした。
暗号上の弱点は脅威をさらに増幅させます。MD2のような時代遅れのアルゴリズムや安全でない乱数生成器の使用は、暗号化されたデータであっても安全ではない可能性があることを意味します。
「暗号は、安全な通信とデータ保管の基盤です」とCipot氏は付け加えました。
「欠陥のある暗号アルゴリズムが使われていたり、保護がまったく適用されていなかったりするなら、これは非常に憂慮すべき状況です。」
企業にとっての前進の道
これらのリスクに対処するため、Zimperiumは企業に対し、次の手順を取ることを推奨しました。
- 設定不備のクラウドストレージ設定を特定し、解消する
- 露出した認証情報とAPIキーを検出し、ローテーション(更新)する
- 暗号手法を検証し、時代遅れまたは安全でないアルゴリズムを避ける
- 既知の脆弱性についてサードパーティSDKを監視する
「クラウドの採用は、組織に巨大な可能性を解き放ちました」と、Aponoの共同創業者兼CEOであるRom Carmel氏は述べました。
「しかし、今日の動的な脅威環境でレジリエンスを保つには[…] セキュリティチームは多層防御戦略を採用しなければなりません。恒常的なアクセスを排除し、最小権限を徹底し、侵害されたアイデンティティが実際にできることを制限するのです。」
翻訳元: https://www.infosecurity-magazine.com/news/92-mobile-apps-insecure/
