劣化したライブラリが招くAndroidアプリのリスク | ScanNetSecurity
2026.07.02(木)

劣化したライブラリが招くAndroidアプリのリスク

アプリ開発において、オープンソースライブラリやGitHubのようなレポジトリはなくてはならないものだが、そこには落とし穴もある。

研修・セミナー・カンファレンス セミナー・イベント
PacSecで講演するMarc Schonefeld氏
PacSecで講演するMarc Schonefeld氏 全 3 枚 拡大写真
アプリ開発において、オープンソースライブラリやGitHubのようなレポジトリはなくてはならないものだ。多くのソフトウェアに利用され実績もあるライブラリは、完成コンポーネントとして使えるメリットの他、メジャーなものなら脆弱性の心配も少ないはずだ。

一般論としてはその通りなのだが、そこには落とし穴もある。

●本当は危険なライブラリ

例えばアンドロイドのアプリにおいては、標準的なSDKだけで開発すると、パフォーマンスが出ない、最新機能を使いたい、既存システムやサービスなどにつなぐ必要がある、といった理由で、C/C++のライブラリを利用することがある。

これは本質的に危険であり利用を避けるべきだという専門家もいる。Marc Schonefeld氏は、Google Play Storeの多数のアプリを検証し、それらに潜む脆弱性について研究している。その中で、100万、1,000万ダウンロードされるようなメジャーなアプリについても、危険なライブラリに由来する脆弱性が残っていると警告する。

Schonefeld氏は、PacSec Tokyo 2017において、自身の調査結果とともに具体的なライブラリ名を挙げながら、古いライブラリ、とくにパッケージに組み込まれてバージョンがわからないようなもの、利用そのものが忘れ去られているものの危険性を指摘した。オープンソースライブラリなどは、管理するベンダーやコミュニティによってアップデートされていくが、アプリにインポートされたライブラリは、適宜のメンテナンスを怠ると「劣化」していくことになる。このリスクは、OWASPでもトップ10に入るものだ。

  1. 1
  2. 2
  3. 続きを読む

《中尾 真二》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 2りんかんイエローハットに不正アクセス、310万名分の個人情報が漏えい

    2りんかんイエローハットに不正アクセス、310万名分の個人情報が漏えい

  2. 個人情報部分を非表示処理にとどめた状態を削除済みと誤認 ~ 川越商工会議所で会員データを外部に送信

    個人情報部分を非表示処理にとどめた状態を削除済みと誤認 ~ 川越商工会議所で会員データを外部に送信

  3. 「レガシーで魅力を感じない領域。のはずだった」Tenable 阿部淳平が語るエクスポージャーマネジメント

    「レガシーで魅力を感じない領域。のはずだった」Tenable 阿部淳平が語るエクスポージャーマネジメントPR

  4. アフラック生命保険に不正アクセス、約438万人の顧客情報が漏えい

    アフラック生命保険に不正アクセス、約438万人の顧客情報が漏えい

  5. 廃棄したPC端末が一部データが残存する状態で流通、第三者が取得し発覚

    廃棄したPC端末が一部データが残存する状態で流通、第三者が取得し発覚

ランキングをもっと見る
PageTop