事故から学ぶ

1万8000個以上のスマートフォンアプリに個人情報漏えいなどの脆弱性が発覚、クラウドサービスの設定が不完全なため

事故概要

業種 Zimperium
発生時期 情報
漏えい人数 情報
事故概要

モバイルセキュリティサービスを提供する企業「Zimperium」の調査により、外部のクラウドサービスを使用するiOSおよびAndroid向けアプリの内およそ1万8000個のアプリに、電話番号や住所などの個人情報が漏えいするリスクがあることが判明しました。アプリ開発者がクラウドサービスのガイドラインに従うことを怠っていることが原因とされています。
能などは、モバイルアプリの開発において重要な設計の一つです。Zimperiumによると、かなりの数のアプリがこういった機能に必要なクラウドサービスをAmazon S3やMicrosoft Azureなどの外部サービスに依存しているとのこと。
クラウドサービスにはデータを簡単に保存してアプリからアクセスできるという利便性があるのですが、その利便性故に設定次第で誰でもデータにアクセスできてしまうというリスクがあります。クラウドサービスを提供する企業はアクセスを保護する方法について非常に詳細なガイドラインを公開してはいますが、アプリ開発者がそれに従わず、初期設定のまま、あるいは設定を誤って利用している可能性が高いとZimperiumは指摘します。
Zimperiumが130万個以上のアプリを調査した結果、独自のサーバーではなくクラウドサービスを使用しているアプリは約13万1000個であり、そのうちの約14%にあたる1万8485個のアプリで設定ミスがあり、ユーザーの個人情報やパスワード、医療情報に簡単にアクセスできる状態となっていることが確認されています。クラウドサービス経由で個人情報にアクセスできるようになっていたアプリの種類は以下のグラフの通り。ミュージックアプリやゲームアプリ、ビジネスアプリなど多岐にわたっており、中には数百万人のユーザーを抱えているものもあったとのこと。
Zimperiumは、ユーザーの個人情報のほかに、開発者のサーバーインフラストラクチャ、スクリプト、サーバーなど全体が公開されているケースを特定したとも発表しています。このケースでは悪意のある人物がSSHキーを確認することができ、アプリ開発者のサーバーにアクセスできる状態になっていたとのこと。
Zimperiumは実際に被害が発生したかどうかについて個別に確認はしておらず、アプリ開発者に対し、不正アクセスや情報漏えいを防ぐためクラウドサービスの設定を見直すよう呼びかけています。

引用元 GIGAZIN

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-3(第20条)安全管理措置 パソコン設定 携帯電話設定(インターネット利用 不正ログイン防止)

チェックリストにある要求ルール:

利用中のウェブサービス・インターネットサービス(インターネットバンキング、ソーシャルネットワーキングサービス(SNS)、ウェブメール、カレンダーなどインターネット経由で利用するサービスの総称)、クラウドサービス(サーバ等のレンタルや運用サービス、決済サービス等)や製品メーカーが発信するセキュリティ注意喚起を確認し、社内共有して社内での対策を確実に実施していますか?
自分が理解できないセキュリティー設定に関しては、勝手な解釈や判断を行わず、専門家や専任者の意見を踏まえた防御策を構築と監視をしていますか?
パスワードは数字だけのものを避けて、記号を含むなどの複雑なものにしていますか?
2段階認証、2要素認証が可能な場合は設定していますか?
安全性を確認せずにサイトからファイルをダウンロードしていませんか?
感染した、情報が洩れているからすぐに対応しろ、など閲覧しているサイトからの指示に惑わされ、システム管理者の許可を得ず勝手にファイルをダウロードしていませんか?
セキュリティー対策としてOSやアプリケーションは常に最新バージョンにアップデートしていますか?
携帯電話のOSやアプリケーションもも常に最新バージョンにアップデートしていますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

ダウンロードして使用するアプリケーションに脆弱性があり、個人情報にアクセスできてしまう、というお粗末なアプリケーションが1万8500ちかくあるというニュースである。
昔は携帯会社が徹底的にアプリケーションテストを実施していたが、スマホ時代になりアプリケーションのダウンロードによるリスクは携帯の所有者・利用者責任になっている。

具体例:

スマホの利用者はダウンロード時に表示される警告の意味と、自分への影響を知るべきであり、個人情報漏えいに危機意識を持ち、敏感になるべきである。自己責任とは誰も救ってくれないということを改めて認識し直すべき時が来ている。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。