HOMEIPAについて新着情報プレス発表 【注意喚起】HTTPSで通信するAndroidアプリの開発者はSSLサーバー証明書の検証処理の実装を

本文を印刷する

IPAについて

プレス発表 【注意喚起】HTTPSで通信するAndroidアプリの開発者はSSLサーバー証明書の検証処理の実装を

~米国CERT/CC (*1)が脆弱性のある617のAndroidアプリを指摘 (*2)。今後さらに指摘される見込み~

2014年9月19日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)セキュリティセンターは、米国のCERT/CCが2014年9月3日、複数のAndroidアプリに「SSL証明書を適切に検証しない脆弱性」を確認したとの発表を受け、Androidアプリ開発者に対して注意喚起を発することとしました。


 HTTPS(HTTP over SSL/TLS)でサーバーと通信するAndroidアプリは、HTTPS通信の開始時に通信先から送信されたSSLサーバー証明書が適切か検証する必要があります。本来、HTTPS通信では、利用者とウェブサイトの通信経路上に攻撃者が割り込み、通信内容を盗聴したり改ざんしようとする攻撃(中間者攻撃)を防ぐことができます。しかし、開発者が提供するAndroidアプリが「SSLサーバー証明書を適切に検証」していない場合、中間者攻撃を防ぐことができず、攻撃者にHTTPS通信の内容を盗聴または改ざんされる可能性があります。


図1:中間者攻撃により不正なSSLサーバー証明書を用いて盗聴されるイメージ

CERT/CCは、大規模な調査を継続中。脆弱性のあるAndroidアプリは速やかに修正を

 米国のCERT/CCは2014年9月3日(米国時間)、複数のAndroidアプリに「SSL証明書を適切に検証しない脆弱性」があったとの調査結果を発表しました(注意喚起 VU#582497 (*3)、日本語版 JVNVU#90369988 (*4))。CERT/CCは本脆弱性があるAndroidアプリ開発者への通知およびリストの公表を行っており、9月18日時点でリストには複数の日本語名のアプリを含む617のアプリが記載されています。CERT/CCは自動化された大規模な調査を継続中であり、今後も公表されるアプリが増える見込みです。

開発者向け対策:「SSLサーバー証明書を用いた検証を実装する」

 CERT/CCからの通知の有無にかかわらず、HTTPS通信を行うAndroidアプリの開発者は、提供するAndroidアプリに「SSL証明書を適切に検証しない脆弱性」の有無について点検を行い、脆弱性があれば速やかに修正しアップデートを公開してください。

 なお、IPAでは、Androidアプリの脆弱性の学習・点検ツール「AnCoLe」を無償提供しています。AnCoLe を用いることで、ソースコードに「SSL証明書を適切に検証しない脆弱性」(SSL通信の実装不備)が無いか、点検が行えます。

Androidアプリの脆弱性の学習・点検ツール AnCoLe

 具体的な実装方法については、以下の資料に解説されていますのでご参照ください。

JSSEC「Androidアプリのセキュア設計・セキュアコーディングガイド」
 また、この脆弱性はWindowsやiOSのアプリにも存在する可能性があります。Androidアプリに限らず、サーバーとのHTTPS通信を行うアプリケーションを提供する開発者は、アプリケーションのHTTPS通信の開始時にはSSLサーバー証明書の検証処理を実装してください。

利用者向け対策:「アップデートを適用したAndroidアプリを使用する」

 本脆弱性はAndroidアプリ開発者が対策する必要があります。Androidアプリ利用者は、開発者から提供されるアップデートがあれば、速やかに適用して、常に最新の状態でAndroidアプリを使用してください。

 また、一般的に本脆弱性を悪用したAndroidアプリへの中間者攻撃は、攻撃者が用意した無線LAN環境を介して行われます。以下の情報などをご参照いただき、無線LANの安全な利用を心がけてください。

総務省「Wi-Fi(無線LAN)の安全な利用について」
総務省「Wi-Fi利用者向け 簡易マニュアル」(PDF)

脚注

(*1) CERT/CC (CERT Coordination Center) は、インターネットセキュリティの問題に対処するための機関

(*2) Android application SSL spreadsheet(米国時間2014年9月18日0時時点で617件公表あり)
https://docs.google.com/spreadsheets/d/1t5GXwjw82SyunALVJb2w0zi3FoLRIkfGPc7AMjRF0r4/edit?usp=sharing別ウィンドウで開く

(*3) VU#582497 Multiple Android applications fail to properly validate SSL certificates
http://www.kb.cert.org/vuls/id/582497別ウィンドウで開く

(*4) JVNVU#90369988 複数の Android アプリに SSL 証明書を適切に検証しない脆弱性(過去に修正されJVNで公表された13件のリストを記載あり) https://jvn.jp/vu/JVNVU90369988/別ウィンドウで開く

プレスリリースのダウンロード

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 中西/谷口

Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail: 電話番号:03-5978-7527までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部 広報グループ 横山/白石

Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。