HOMEIPAについて新着情報プレス発表【Androidアプリのセキュリティ上の問題(脆弱性)を学習・点検する無償ツール「AnCoLe(アンコール)」を公開】

本文を印刷する

IPAについて

プレス発表【Androidアプリのセキュリティ上の問題(脆弱性)を学習・点検する無償ツール「AnCoLe(アンコール)」を公開】

~対象はIPAへの届出が多い脆弱性を中心とした7テーマ~

2014年4月11日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、Androidアプリの脆弱性の学習・点検ツール「AnCoLe(アンコール)」を、2014年4月11日からIPAのウェブサイトで公開しました。

 URL:https://www.ipa.go.jp/security/vuln/ancole/index.html

 IPAでは、2011年に初めてAndroidアプリの脆弱性の届出(*1)を受け付け、その件数は2011年20件、2012年32件、2013年117件(*2)と年々増加しています。
 また、民間企業が行った調査では、何らかの脆弱性を持つ可能性のあるアプリが調査対象の96%に及ぶという結果が示されています(*3)。これは、Androidアプリの開発には特別な機器や資格等を必要とせず、その公開も容易で、開発への参入障壁は高くなく、その結果、セキュリティが十分に考慮されないまま開発し、公開されているケースが多いものと考えられます。
 利用者がこうしたアプリを使用すると、端末の情報が漏えいしたり、アプリの設定情報が改ざんされたりする等の被害の恐れがあります。このような事態を改善するためには、より多くの開発者がAndroidアプリにおける基本的な脆弱性を理解し、対策方法を習得することが必要です。

 本日公開した「AnCoLe(アンコール)」は、IPAへの届出が多い脆弱性を中心とした7テーマを対象に、対策方法が学習・点検できる無償ツールです。
 同ツールは、Androidアプリ開発者向けで、ソフトウェアの開発環境であるEclipse(*4)上で動作し、Android端末の実機やエミュレータ(*5)を使用します。(詳細は別紙参照)。

(1)学習機能:学習用アプリを用いて7テーマごとに以下の流れで学習

  1. 学習用アプリ(攻撃アプリおよびサンプルアプリ)を使った脆弱性の被害体験:
    攻撃アプリを使い、脆弱性のあるサンプルアプリに攻撃を試行し、被害を体験します。
  2. 対策の学習:
    脆弱性の原因や対策方法を学習します。
  3. サンプルアプリの修正:
    サンプルアプリのソースコードの原因箇所を修正します。
  4. 学習用アプリを使った脆弱性の対策体験:
    攻撃アプリを使い、修正したサンプルアプリに攻撃を試行し、対策されていることを確認します。
学習対象の一覧
No. 学習対象となる脆弱性等 脆弱性等がもたらす想定被害
 1 ファイルのアクセス制限不備 アプリが保有する情報の漏えい、改ざん
 2 コンポーネントのアクセス制限不備
 3 暗黙的Intentの不適切な使用 アプリが出力する情報の漏えい
 4 不適切なログ出力
 5 WebViewの不適切な使用 端末内の情報の漏えい、改ざん等
 6 SSL通信の実装不備 通信内容の漏えい、改ざん
 7 不必要な権限の取得 (*6) 利用者が不正なアプリと誤認
別の脆弱性が悪用された際の被害拡大

(2)点検機能:実際に開発したアプリに問題が無いかを点検する

  1. 点検:
    開発中のアプリを読み込み、脆弱性や問題点の有無を点検します。
  2. 結果の確認:
    表示される点検結果から問題となる箇所のソースコードを把握します。
  3. -1 再学習(学習機能との連携):
    点検の結果、問題があった場合には、学習機能を使用して対策方法を学習します。
    -2 終了:
    点検の結果、問題がなければ終了します。
 その他、本ツールでは、Androidアプリ開発の初心者に配慮し、ツールの使用上最低限必要となる、基本的な知識としてAndroid OSの仕組み、Androidアプリの特徴、および用語集を提供しています。
 本ツールが、脆弱性の存在や対策方法を理解する一助となり、安全なAndroidアプリの開発に寄与することを期待すると共に、本ツールが学習教材として広く活用されるよう、展示会出展やセミナー開催等の普及活動を予定しています。

 なお、本ツールの開発は一般競争入札により決定したタオソフトウェア株式会社が行いました。

脚注

(*1) 経済産業省の告示に基づき、2004年から運営されており、ウェブサイトやソフトウェア製品に関する届出を受け付けている。https://www.ipa.go.jp/security/vuln/report/index.html

(*2) 詳細は、「ソフトウェア等の脆弱性関連情報に関する届出状況[2013年第4四半期(10月~12月)]」を参照。
https://www.ipa.go.jp/security/vuln/report/vuln2013q4.html

(*3) Android アプリ脆弱性調査レポート Sony Digital Network Applications, Inc. 全6170アプリのうち脆弱性リスクのあるアプリは5902件だった。
http://www.sonydna.com/sdna/solution/android_vulnerability_report_201310.pdf Android アプリ脆弱性調査レポート(PDF形式)(1.43MB)

(*4) オープンソースの統合開発環境(IDE)の一つ。https://www.eclipse.org/ 別ウィンドウで開く

(*5) PC上で仮想的にAndroid 端末を動作させるソフトウェア。Androidアプリの開発に必要なAndroid SDK に含まれるAVD( Android Virtual Device )の機能の一つ。

(*6) アプリの動作に不必要な権限を取得すること自体は脆弱性ではありませんが、不正なアプリと誤認される等の悪影響が生じる問題です。

プレスリリースのダウンロード

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 谷口/中野

Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail: 電話番号:03-5978-7527までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部 広報グループ 横山/白石

Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。