HP:モバイルアプリの97%が、個人情報にアクセスしている
米国 Hewlett-Packard は、Forbes 誌による世界の有力企業ランキング「Global 2000」に選ばれた601社による2,107件のモバイルアプリを調査。その97%が、なんらかの形で利用者のデバイス内にある個人情報にアクセスしていることを明らかにした。

HP はアプリを解析し、個人情報にアクセスしているかどうかをチェックした。次に、個人情報にアクセスしたアプリが、セキュリティ脆弱性を有していないかを確認している。

HP でプロダクトマーケティングを担当する Maria Bledsoe 氏は、eWeek に対し調査結果を次のように説明した。

「アプリの中には、個人情報にアクセスする正当な理由を持っているものもあった。だが、アプリの多くはセキュリティ脆弱性を有しており、利用者の個人情報をリスクに曝す可能性を高めている」

HP の調査では、86%のモバイルアプリで、メモリオーバーフロー攻撃からアプリをシールドするバイナリ保護が正しく使用されていなかったという。バイナリ保護はまた、アタッカーがコードをリバースエンジニアリングし、アプリのセキュリティ上の脆弱性を発見することも防ぐ。

さらに悪いことに、HP の調査では75%のモバイルアプリは、ユーザーデータの暗号化で、適切な暗号化技術を採用していないことも判明した。

「開発者は、OS が推奨している暗号化メソッドを採用するべきだ。暗号化なしの実装や、独自の暗号化実装はするべきではない」

HP の調査では、アプリの SSL 暗号化にも問題があると指摘している。調査によれば、82%のアプリが SSL を採用してはいるが、正しく使用しているのはわずか18%だという。適切でない SSL の実装は、ユーザーデータを中間者攻撃のリスクに曝す。

Bledsoe 氏は、アプリの設計の段階から、セキュリティ対策を組み込んでおくことが重要であると強調した。

「アプリがサードパーティによって開発されたものであったとしても、リリース前にモバイルアプリに対するセキュリティ評価テストを実施することで、脆弱性の多くを修正できる。開発においてセキュリティ対策を優先することで、アプリのセキュリティ上の欠陥は解決できるのだ」

Sean Michael Kerner
Sean Michael Kerner は、InternetNews.com の主任編集者。