基本的なSSL脆弱性さえ放置するAndroidアプリを多数確認--四半期レポート（マカフィー）

マカフィーは、2014年第4四半期の脅威レポートを発表した。レポートでは、キートピックとして「モバイルアプリの脆弱性が数百万人のモバイルユーザーに影響する可能性」「増加するAnglerエクスプロイトキットの増加と攻撃の高度化」の2つを挙げている。

調査・レポート・白書・ガイドライン調査・ホワイトペーパー

2015.3.16 Mon 19:05

CERT TapiocaでMITMに対するモバイルアプリの脆弱性を検証した結果。下の方にユーザー名とパスワードが露出している全 2 枚拡大写真

マカフィー株式会社は3月16日、2014年第4四半期の脅威レポートを発表した。レポートでは、キートピックとして「モバイルアプリの脆弱性が数百万人のモバイルユーザーに影響する可能性」「増加するAnglerエクスプロイトキットの増加と攻撃の高度化」の2つを挙げている。同社McAfee Labsの調査によると、モバイルアプリの提供業者は最も基本的なSSLの脆弱性（不適切なデジタル証明書チェーンの検証）への対処が遅れていることが明らかになっている。

米カーネギーメロン大学のCERTが発表した脆弱性（ログイン認証情報をセキュリティが確保されていない接続で送信）を抱えるモバイルアプリのうち、人気の上位25のアプリをMcAfee Labsがテストしたところ、そのうち18のアプリでは脆弱性が一般に公表され、また警告されたにも関わらず修正されていないことが判明した。複数回のバージョンアップが行われていながらも、脆弱性が放置されているケースもあったという。実際に中間者攻撃を行った結果、ユーザ名やパスワードを含むデータを傍受できたとしている。

Anglerエクスプロイトキットは、「サービスとしてのサイバー犯罪（Cybercrime as a Service）」の考え方から誕生した既製ツールのひとつ。McAfee Labsによると、サイバー犯罪者は2014年の下半期にAnglerへの移行を進めており、その間に有名なエクスプロイトキットであるBlacoleよりも人気のあるキットとなった。Anglerはさまざまな検知回避手法を駆使して仮想マシン、サンドボックス、セキュリティソフトウェアによって検知されないようになっており、頻繁にパターンやペイロードを変更することで一部のセキュリティ製品から脅威を隠そうとする。

《吉澤亨史（ Kouji Yoshizawa ）》