2015年3月13日金曜日

スマホのアプリ、最新版にしていますか? Androidアプリも最新版に更新しないと危険です!

パソコンのセキュリティ対策では、WindowsなどのOS、Officeソフト、ブラウザ、メールソフト、Adobe Reader、FlashPlayerなどのアプリを最新版にすることが基本になっていますが、スマホでもアプリを最新版に更新することが必要な時代になりました。

実は、AndroidアプリのDropboxと連携させるための「Dropbox SDK」に深刻な脆弱性(ソフトの不具合)が見つかりました。Dropboxと連携するAndroidアプリから情報流出の恐れがあるそうです。

「Microsoft Office Mobile」やパスワード管理アプリの「1Password」で検証し、ユーザーの情報や保存した文書、パスワードなどが攻撃者のアカウントに流出する恐れがあることを確認したそうです(いずれのアプリも修正した更新版が既にGoogle Playで公開中)。

 2015年03月12日
 Dropbox SDKに深刻な脆弱性、連携のAndroidアプリから情報流出の恐れ
  - ITmedia エンタープライズ
 http://www.itmedia.co.jp/enterprise/articles/1503/12/news041.html



Dropbox自体のアプリでは脆弱性のあるSDKコードが呼び出されないことから、Dropboxアプリについては、問題がなさそうです。


なお、情報処理推進機構(IPA)は、2014年第4四半期における脆弱性の登録状況を取りまとめた結果、同四半期は、JVNにAndroidアプリの脆弱性情報が多数登録されたそうです。

 2014年4Qの脆弱性登録は3072件 - Androidアプリが1200件超:Security NEXT
 http://www.security-next.com/055486


Androidアプリの脆弱性情報が多数登録されたのは、SSL証明書の検証処理に不備がある脆弱性があるとして、1200件を超えるAndroidアプリの脆弱性関連情報が登録されたことに起因しています。

SSL証明書の検証処理に不備がある脆弱性の中には、人気のある「Outlook.com」、「Kindle」のAndroidアプリもあります。

 2014/07/30
 Outlook.comのAndroidアプリに脆弱性 - JPCERT/CC | マイナビニュース
 http://news.mynavi.jp/news/2014/07/30/360/

 2014年9月1日
 Android版アプリ「Kindle」に暗号通信の盗聴などが行われる脆弱性(JVN)
  | ScanNetSecurity (脅威、セキュリティホール・脆弱性のニュース)
 http://scan.netsecurity.ne.jp/article/2014/09/01/34756.html



■ よく使われる 「脆弱性(ぜいじゃくせい)」 「セキュリティホール」 「バグ」 とは?


IT用語の中には、難しい日本語がありますが、それが、この「脆弱性(ぜいじゃくせい)」という言葉。インターネットで何か危ない事件が起きると、必ずといっていいほど、この「脆弱性」という言葉が出てきます。

同じ意味の言葉に「セキュリティホール」、「バグ」というのがあります。これも、なかなか分かりづらい言葉ですが、安心してインターネットを使う上で大事なIT用語です。

なお、これらの用語を考える上で、大事な点があります。

   それは、「完璧なソフトは無い」ということです。

実は、「ソフトは100%正しいことが証明できない」と言われています。

つまり、「100%正しいソフトは無い」、「ソフトには不具合(欠陥)が必ずある」ということです。これが、「脆弱性」、「セキュリティホール」、「バグ」につながります。

   この3つの言葉、全て「不具合」のことと考えたら良いです。
   

簡単にまとめると次のようになります。


・脆弱性(ぜいじゃくせい)・・・不具合(欠陥)のこと。

・セキュリティホール(security hole)・・・セキュリティ上の穴、つまり「不具合(欠陥)」のこと。

・バグ (bug)・・・英語で「虫」の意味で「不具合(欠陥)」のこと。




■「脆弱性」とは

「脆弱性」とは、”脆く、傷つきやすいこと”ですが、攻撃に対して弱いこと、弱点を意味し、コンピュータの世界では、「不具合(欠陥)」と考えて良いです。

パソコンの中には、OS(これもソフトの一つ)、Office、ブラウザ、メール、PDFリーダ、Flashプレイヤーなど多くのソフトがありますが、インターネットでは、これらのソフトの「脆弱性」つまり、「不具合(欠陥)」が狙われます。

攻撃は、ソフトが扱うデータ、例えばPDFデータに、PDFソフトの「不具合(欠陥)」を利用した仕組みを入れて、ウイルスなどに感染するようにします。

この悪さが入ったPDFデータをPDFソフトで読むと、正しく処理を出来ず、ウイルスに感染します。戸締りの悪い所から侵入する泥棒みたいですね。


■「セキュリティホール(security hole)」とは

「セキュリティホール」は、セキュリティ上の穴(安全上の穴)、「不具合(欠陥)」で、「脆弱性」と同じ意味です。

一般的に、ウイルスなどの攻撃は弱いところ、つまり、セキュリティホールを狙ってきます。そのため、パソコンを安全に使うためには、コンピュータにあるセキュリティホール(侵入する穴)をふさがないといけません。


■「バグ (bug)」とは

「バグ 」は英語で「虫」の意味で、「不具合(欠陥)」のことです(主にソフトウェアの欠陥)。実は、1940年代、コンピュータを開発していた頃、コンピュータの中に「虫」が入り込み、コンピュータが動かなくなったことから、「不具合(欠陥)」のことを「虫(バグ)」と言うようになりました。