スマホ用銀行アプリ、じゅうぶんセキュアなものは皆無。英調査

　英国のセキュリティ関連企業Positive Technologiesは、スマートフォン向けの銀行アプリに関するセキュリティ調査について報告している。

　同社では、AndroidおよびiOS向けに各アプリストアで提供され、50万ダウンロードを超えているもののうち、14のアプリについてシステム所有者の同意を得て調査を実施した。その結果いずれのサービスについても、クライアント、サーバーサイドの双方にセキュリティリスクが存在し、半数において情報搾取や盗難の脆弱性がみつかったという。そのうち半分以上の脆弱性はサーバーサイドに存在していたという。

　クライアントでは、不正アクセスに対する脆弱性が顕著で、43%のアプリで重要なデータが平文で端末上に保存されていたという。そのほか、デバイスへの物理アクセスがなくとも悪用が可能な脆弱性が全体の76%を占め、3分の1以上は管理者権限がなくても利用できるものだったとする。

　OS別にみると、iOS向けアプリでは深刻度がMedium(中程度)より高いものが存在しなかった一方で、Android向けではセキュアでないディープリンク処理などを含む、29%のアプリに危険性の高いものが含まれていたという。Androidでは開発者側での実装の自由度が高いことが影響していると分析している。

　サーバーサイドでは、今回の調査で見つかった全脆弱性のうち54%が検出され、各銀行アプリごとに平均で23件の脆弱性が発見された。とくにビジネスロジックにおける脆弱性が43%に含まれ、ユーザーの機密情報の取得や不正行為を行なえる危険性があるという。

　同社では、銀行アプリのソースコードには多くの問題が存在し、設計と開発のどちらにおいてもセキュリティを強化する必要があるとした上で、Secure Software Development Lifecycle(SSDL)を実施するなど、開発のすべての段階でセキュリティを確保する必要があるとしている。

　また、今回見つかった脆弱性を悪用する場合、87%のケースではユーザー側で何かしらの操作が必要だとしており、ユーザーに対してはデバイスのJailbreakやroot化、不審なWebサイトやリンクへのアクセスを避けたり、OSを最新版に保ったり公式ストアからアプリを導入するよう促している。