基本的なSSL脆弱性さえ放置するAndroidアプリを多数確認--四半期レポート(マカフィー) | ScanNetSecurity
2026.02.18(水)

基本的なSSL脆弱性さえ放置するAndroidアプリを多数確認--四半期レポート(マカフィー)

マカフィーは、2014年第4四半期の脅威レポートを発表した。レポートでは、キートピックとして「モバイルアプリの脆弱性が数百万人のモバイルユーザーに影響する可能性」「増加するAnglerエクスプロイトキットの増加と攻撃の高度化」の2つを挙げている。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
61 views
facebookLINE
CERT TapiocaでMITMに対するモバイル アプリの脆弱性を検証した結果。下の方にユーザー名とパスワードが露出している
CERT TapiocaでMITMに対するモバイル アプリの脆弱性を検証した結果。下の方にユーザー名とパスワードが露出している 全 2 枚 拡大写真
マカフィー株式会社は3月16日、2014年第4四半期の脅威レポートを発表した。レポートでは、キートピックとして「モバイルアプリの脆弱性が数百万人のモバイルユーザーに影響する可能性」「増加するAnglerエクスプロイトキットの増加と攻撃の高度化」の2つを挙げている。同社McAfee Labsの調査によると、モバイルアプリの提供業者は最も基本的なSSLの脆弱性(不適切なデジタル証明書チェーンの検証)への対処が遅れていることが明らかになっている。

米カーネギーメロン大学のCERTが発表した脆弱性(ログイン認証情報をセキュリティが確保されていない接続で送信)を抱えるモバイルアプリのうち、人気の上位25のアプリをMcAfee Labsがテストしたところ、そのうち18のアプリでは脆弱性が一般に公表され、また警告されたにも関わらず修正されていないことが判明した。複数回のバージョンアップが行われていながらも、脆弱性が放置されているケースもあったという。実際に中間者攻撃を行った結果、ユーザ名やパスワードを含むデータを傍受できたとしている。

Anglerエクスプロイトキットは、「サービスとしてのサイバー犯罪(Cybercrime as a Service)」の考え方から誕生した既製ツールのひとつ。McAfee Labsによると、サイバー犯罪者は2014年の下半期にAnglerへの移行を進めており、その間に有名なエクスプロイトキットであるBlacoleよりも人気のあるキットとなった。Anglerはさまざまな検知回避手法を駆使して仮想マシン、サンドボックス、セキュリティ ソフトウェアによって検知されないようになっており、頻繁にパターンやペイロードを変更することで一部のセキュリティ製品から脅威を隠そうとする。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/

特集

関連リンク

PageTop

アクセスランキング

  1. 懲戒解雇処分 フジテレビ元社員が取材情報や内部情報を競合他社に漏えい

    懲戒解雇処分 フジテレビ元社員が取材情報や内部情報を競合他社に漏えい

  2. 「いやいや」セキュリティをやっている世の全ての管理者に寄り添う ~ スリーシェイク手塚卓也の Securify 開発哲学

    「いやいや」セキュリティをやっている世の全ての管理者に寄り添う ~ スリーシェイク手塚卓也の Securify 開発哲学PR

  3. メール誤送信で農林水産省 職員及びその家族 4,571 人分のマイナンバー含む情報漏えい

    メール誤送信で農林水産省 職員及びその家族 4,571 人分のマイナンバー含む情報漏えい

  4. IPA「セキュリティ要件適合評価及びラベリング制度 (JC-STAR) 通信機器 ★3セキュリティ要件」公開

    IPA「セキュリティ要件適合評価及びラベリング制度 (JC-STAR) 通信機器 ★3セキュリティ要件」公開

  5. 同僚名で会社のメルアドに「LINEグループを作ってQRコードを送ってほしい」と連絡、出先だったので指示に従ってしまった

    同僚名で会社のメルアドに「LINEグループを作ってQRコードを送ってほしい」と連絡、出先だったので指示に従ってしまった

ランキングをもっと見る
PageTop
ホーム 調査・レポート・白書・ガイドライン 調査・ホワイトペーパー 記事
TOP