Last Updated on 2025-04-17 15:02 by admin
Zimperiumのセキュリティ研究チームzLabsは、2025年4月17日に発表した調査報告書で、業務環境で使用されている主要なモバイルアプリケーションにおけるクラウド設定ミスと暗号化の欠陥が企業データの漏洩を引き起こしていることを明らかにした。
研究チームは9,078のAndroidアプリと45,570のiOSアプリ、合計54,648の職場アプリを分析した。その結果、分析されたアプリの62%がクラウドAPIまたはSDKを使用していることが判明した。
特に懸念されるのは、83のAndroidアプリ(そのうちいくつかはGoogle Play Storeの人気ランキングトップ100に入っている)が保護されていないか設定ミスのあるクラウドストレージを使用しており、ファイルとディレクトリのインデックスが世界中から閲覧可能になっていることである。さらに、10のAndroidアプリがAmazon Web Services(AWS)の認証情報を露出させており、組織の企業クラウド展開への完全なアクセスを潜在的に許可していることも発見された。
暗号化に関しては、分析されたアプリの92%が一つ以上のベストプラクティスに従っていない暗号化手法を使用していた。特に深刻なのは、トップ100アプリの5%が「高い重大度」の暗号化欠陥を持っていることで、これにはハードコードされた暗号鍵や時代遅れのアルゴリズムの使用などが含まれる。
Zimperiumのサイバー脅威アナリストであるJuan Francisco Bertonaによると、IBMの調査では、データ侵害の平均コストは1件あたり488万ドルであり、認証情報の侵害とクラウド設定ミスが最も頻繁な初期攻撃ベクトルの上位を占めているという。
アプリケーションセキュリティ企業Black DuckのシニアセキュリティエンジニアであるBoris Cipotは、これらのクラウドの失敗を「単に杜撰なセキュリティ設定やアプリケーションセキュリティを悪用してデータを盗むよう攻撃者に対する公然の招待状」と表現している。
zLabsは、企業がこれらのリスクを軽減するために、モバイルデバイスマネージャーがアプリの動作パターンを可視化し、設定ミスのあるクラウドストレージ設定の特定、露出した認証情報とAPIキーの検出、暗号化手法とキー管理の検証、時代遅れまたは弱いアルゴリズムの特定などの対策を講じるべきだと推奨している。
from:Cloud, Cryptography Flaws in Mobile Apps Leak Enterprise Data
【編集部解説】
私たちが日常的に使用しているモバイルアプリケーション。特に業務環境で利用されるアプリには、想像以上に深刻なセキュリティ上の欠陥が潜んでいることが明らかになりました。Zimperiumの最新調査は、クラウド設定ミスと暗号化の欠陥という二つの主要な問題点を浮き彫りにしています。
Zimperiumの調査によると、9,078のAndroidアプリと45,570のiOSアプリ、合計54,648の職場アプリを分析した結果、分析されたアプリの62%がクラウドAPIまたはSDKを使用していることが判明しました。これは現代のビジネスアプリがいかにクラウドサービスに依存しているかを示しています。
特に懸念されるのは、83のAndroidアプリが保護されていないか設定ミスのあるクラウドストレージを使用しており、ファイルとディレクトリのインデックスが世界中から閲覧可能になっていることです。さらに、10のAndroidアプリがAmazon Web Services(AWS)の認証情報を露出させており、組織の企業クラウド展開への完全なアクセスを潜在的に許可していることも発見されました。
企業のITセキュリティ担当者にとって、この調査結果は警鐘を鳴らすものです。特にBYOD(Bring Your Own Device)ポリシーを採用している企業では、従業員が個人のデバイスで業務アプリを使用することが一般的になっています。しかし、そのアプリが適切なセキュリティ対策を施していなければ、企業の機密データが知らず知らずのうちに外部に露出してしまう可能性があるのです。
クラウド設定ミスの問題は、Black Duckのシニアセキュリティエンジニア、Boris Cipot氏が「家の玄関ドアを開けたままにして安全だと言っているようなもの」と表現しているように、基本的なセキュリティ対策の欠如を意味します。特に10のAndroidアプリがAWSの認証情報を露出させていたという事実は、攻撃者が企業のクラウド環境に簡単にアクセスできる状況を生み出しています。
暗号化の欠陥も同様に深刻です。分析されたアプリの92%が一つ以上のベストプラクティスに従っていない暗号化手法を使用していました。特に深刻なのは、トップ100アプリの5%が「高い重大度」の暗号化欠陥を持っていることで、これにはハードコードされた暗号鍵や時代遅れのアルゴリズムの使用などが含まれます。暗号化は安全な通信とデータ保護の基盤であり、これが適切に実装されていなければ、他のセキュリティ対策も意味をなさなくなります。
この問題の影響範囲は非常に広いと考えられます。IBMの調査によると、データ侵害の平均コストは1件あたり488万ドルであり、認証情報の侵害とクラウド設定ミスが最も頻繁な初期攻撃ベクトルの上位を占めているという事実は、データセキュリティの重要性を如実に示しています。
企業はこれらのリスクにどう対応すべきでしょうか。Zimperiumは、モバイルデバイスマネージャーがアプリの動作パターンを可視化し、設定ミスのあるクラウドストレージ設定の特定、露出した認証情報とAPIキーの検出、暗号化手法とキー管理の検証などの対策を講じるべきだと推奨しています。
私たちinnovaTopiaの読者の多くは、テクノロジーに精通した方々ですが、この問題は技術的な側面だけでなく、ビジネスリスクとしても捉える必要があります。データ侵害の平均コストが1件あたり488万ドルであることを考えると、適切なセキュリティ対策への投資は、潜在的な損失を防ぐための賢明な選択といえるでしょう。
日本企業においても、デジタルトランスフォーメーションの進展に伴い、モバイルアプリケーションの活用が進んでいます。しかし、セキュリティ対策が技術の進化に追いついていないケースも少なくありません。特に中小企業では、専門的なセキュリティ知識を持つ人材の不足が課題となっています。
この調査結果は、モバイルアプリの開発者にとっても重要な示唆を含んでいます。セキュリティはアプリ開発の最終段階で考慮するものではなく、設計段階から組み込むべき要素です。「セキュリティ・バイ・デザイン」の考え方が、今後ますます重要になってくるでしょう。
テクノロジーの進化は私たちの生活やビジネスに多大な恩恵をもたらしますが、それに伴うリスクにも目を向ける必要があります。適切なセキュリティ対策を講じることで、テクノロジーの恩恵を安全に享受することができるのです。
【用語解説】
クラウド設定ミス:
クラウドサービスの各種設定を誤って構成すること。誤設定、未設定、設定の未変更などが含まれる。
AK/SK(AccessKey/Secret AccessKey):
AWSなどのクラウドサービスにアクセスするための認証情報。
暗号化の欠陥:
データを保護するための暗号化技術の実装に問題があること。ハードコードされた暗号鍵や時代遅れのアルゴリズムの使用など。
BYOD(Bring Your Own Device):
従業員が個人所有のデバイスを業務に使用すること。コスト削減になる一方、セキュリティ管理が難しくなる側面がある。
IAM(Identity and Access Management):
クラウドサービスにおけるユーザー管理と権限制御の仕組み。誰に何の操作を許可するかを細かく設定できる。
【参考リンク】
Zimperium公式サイト(外部)
モバイル端末向けのセキュリティソリューションを提供する企業。ネットワーク経由の攻撃や端末内部の不正挙動から保護する。
AWS(Amazon Web Services)公式サイト(外部)
世界最大のクラウドプラットフォーム。企業向けに様々なクラウドサービスを提供している。
クラウドの設定ミス対策ガイドブック(外部)
総務省が公開している、クラウドサービス利用における設定ミスを防ぐためのガイドブック。
【参考動画】
【編集部後記】
皆さんは普段、どんなアプリを業務で使っていますか?メール、ファイル共有、メッセージング…。実はそれらのアプリが知らないうちに企業データを漏らしているかもしれません。自社で使用しているモバイルアプリのセキュリティ対策状況を確認したことはありますか?また、個人として気をつけられることもあります。アプリの権限設定を見直したり、定期的なアップデートを心がけたりするだけでも、リスクを減らせるかもしれません。皆さんならどんな対策を取りますか?ぜひSNSで教えてください。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
